El malware conocido como Litrodo se ha convertido en el posterior en adoptar la técnica de ingeniería social ampliamente utilizada emplazamiento ClickFix como un vector de distribución.
“La técnica ClickFix es particularmente arriesgada porque permite que el malware se ejecute en la memoria en circunstancia de ser escrito en el disco”, dijo Expel en un referencia compartido con Hacker News. “Esto elimina muchas oportunidades para los navegadores o herramientas de seguridad para detectar o estrechar el malware”.
Latrodectus, que se cree que es un sucesor de ICEDID, es el nombre donado a un malware que actúa como descargador para otras cargas enseres, como el ransomware. Primero fue documentado por Promio y Team Cymru en abril de 2024.
Por cierto, el malware es uno de los muchos software desconfiado para sufrir un retroceso activo como parte de la Operación Endgame, que eliminó 300 servidores en todo el mundo y neutralizó 650 dominios relacionados con Bumblebee, Lactrodectus, Qakbot, Hijackloader, Danabot, Trickbot y Warmcookie entre el 19 de mayo y el 22, 2025.
En el posterior conjunto de ataques Latrodectus observados por Expel en mayo de 2025, los usuarios desprevenidos son engañados para copiar y ejecutar un comando PowerShell desde un sitio web infectado, una táctica que se ha convertido en un método prevalente para distribuir una amplia tonalidad de malware.
“Cuando un becario ejecute por un becario, estos comandos intentarán instalar un archivo emplazado en la URL remota usando MSIEXEC y luego ejecutarlo en la memoria”, dijo Expel. “Esto evita que el atacante tenga que escribir el archivo a la computadora y arriesgarse a ser detectado por el navegador o un antivirus que podría detectarlo en el disco”.
El instalador de MSI contiene una aplicación legítima de NVIDIA, que se utiliza para marcar una DLL maliciosa, que luego usa Curl para descargar la carga útil principal.
Para mitigar los ataques de este tipo, se recomienda deshabilitar el software Windows Ejecutar utilizando objetos de política de liga (GPO) o apagar la tecla Hot “Windows + R” a través de un cambio de registro de Windows.
De ClickFix a Tiktok
La divulgación se produce cuando Trend Micro reveló detalles de una nueva campaña de ingeniería que, en circunstancia de creer en las páginas falsas de Captcha, emplea videos de Tiktok probablemente generados utilizando herramientas de inteligencia químico (IA) para entregar los robadores de información Vidar y Stealc al instruir a los usuarios a ejecutar comandos maliciosos en sus sistemas para activar Windows, Microsoft Office, Capcut y Spotify.
Estos videos se han publicado en varias cuentas de Tiktok como @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc y @digitalDreams771. Estas cuentas ya no están activas. Uno de los videos que afirman proporcionar instrucciones sobre cómo “aumentar su experiencia de Spotify al instante” ha acumulado casi 500,000 visitas, con más de 20,000 me gusta y más de 100 comentarios.
La campaña marca una nueva subida de ClickFix en que los usuarios que buscan formas de activar aplicaciones pirateadas se guían verbal y visualmente para aclarar el cuadro de diálogo Windows Run presionando la tecla Hot “Windows + R”, el propagación de PowerShell, y ejecuta el comando resaltado en el video, comprometiendo sus propios sistemas.
“Los actores de amenazas ahora están utilizando videos de Tiktok que se generan potencialmente utilizando herramientas con IA para diseñar socialmente a los usuarios para ejecutar comandos de PowerShell bajo la apariencia de guiarlos a activar software legal o desbloquear características premium”, dijo el investigador de seguridad Junestherry Dela Cruz.
“Esta campaña destaca cómo los atacantes están listos para armarse las plataformas de redes sociales que sean actualmente populares para distribuir malware”.
Aplicaciones de Ledger falsas utilizadas para robar frases de semillas de los usuarios de Mac
Los hallazgos además siguen el descubrimiento de cuatro campañas de malware diferentes que aprovechan una traducción clonada de la aplicación Ledger Live para robar datos confidenciales, incluidas las frases de semillas, con el objetivo de drenar las billeteras de criptomonedas de las víctimas. La actividad ha estado en curso desde agosto de 2024.
Los ataques utilizan los archivos DMG maliciosos que, cuando se lanzan, inician Applecript para exfiltrar contraseñas y datos de Apple Notes, y luego descargar una traducción troyanizada de Ledger Live. Una vez que se abre la aplicación, advierte a los usuarios de un supuesto problema de cuenta y que requiere su frase de semillas para la recuperación. La frase semilla ingresada se envía a un servidor controlado por el atacante.
Moonlock Lab, que arrojó luz sobre la campaña, dijo que las aplicaciones deshonestas hacen uso de MacOS Stealer Malware como Atomic MacOS Stealer (AMOS) y Odyssey, la última de las cuales introdujo el nuevo esquema de phishing en marzo de 2025. Vale la pena señalar que la actividad se superpone con una campaña de Infoster de MacOS que se revela a los usuarios de Live Users a través de los binarios de Janers, asaltados, asaltados, asaltados.
“En los foros web oscuros, la charla en torno a los esquemas de anti-legílos está creciendo. La próxima ola ya está tomando forma”, señaló la División de Ciberseguridad de MacPaw. “Los piratas informáticos continuarán explotando el circunstancia de los propietarios de Crypto de confianza en Ledger Live”.
