Microsoft ha revelado detalles de una nueva traducción de la táctica de ingeniería social ClickFix en la que los atacantes engañan a usuarios desprevenidos para que ejecuten comandos que realizan una búsqueda en el Sistema de nombres de dominio (DNS) para recuperar la carga útil de la ulterior etapa.
Específicamente, el ataque se podio en el uso del comando “nslookup” (iniciales de búsqueda de servidor de nombres) para ejecutar una búsqueda de DNS personalizada activada a través del cuadro de diálogo Ejecutar de Windows.
ClickFix es una técnica cada vez más popular que tradicionalmente se entrega a través de phishing, publicidad maliciosa o esquemas de descarga no autorizada, que a menudo redirige a los objetivos a páginas de destino falsas que albergan una comprobación CAPTCHA falsa o instrucciones para acometer un problema inexistente en sus computadoras ejecutando un comando a través del cuadro de diálogo Ejecutar de Windows o la aplicación Terminal de macOS.
El método de ataque se ha generalizado en los últimos dos primaveras, ya que depende de que las víctimas infecten sus propias máquinas con malware, permitiendo así a los actores de la amenaza eludir los controles de seguridad. La efectividad de ClickFix ha sido tal que ha generado varias variantes, como FileFix, JackFix, ConsentFix, CrashFix y GlitchFix.
“En la última preparación basada en DNS que utiliza ClickFix, el comando original se ejecuta a través de cmd.exe y realiza una búsqueda de DNS en un servidor DNS extranjero codificado, en punto del solucionador predeterminado del sistema”, dijo el equipo de Microsoft Threat Intelligence en una serie de publicaciones en X. “La salida se filtra para extraer la respuesta DNS `Name:`, que se ejecuta como carga útil de segunda etapa”.
Microsoft dijo que esta nueva variación de ClickFix utiliza DNS como un “canal de señalización o preparación rijoso”, lo que permite al actor de amenazas arribar a la infraestructura bajo su control, así como erigir una nueva capa de energía antaño de ejecutar la carga útil de la segunda etapa.
“El uso de DNS de esta modo reduce la dependencia de las solicitudes web tradicionales y puede ayudar a combinar la actividad maliciosa con el tráfico natural de la red”, añadió el fabricante de Windows.
Seguidamente, la carga útil descargada inicia una dependencia de ataque que conduce a la descarga de un archivo ZIP desde un servidor extranjero (“azwsappdev(.)com”), del cual se extrae y ejecuta un script Python ladino para realizar reconocimientos, ejecutar comandos de descubrimiento y soltar un script Visual Basic (VBScript) responsable de iniciar ModeloRAT, un troyano de golpe remoto basado en Python distribuido previamente a través de CrashFix.
Para establecer la persistencia, se crea un archivo de golpe directo de Windows (LNK) que apunta a VBScript en la carpeta de inicio de Windows para que el malware se inicie automáticamente cada vez que se inicia el sistema operante.
La divulgación se produce cuando Bitdefender advirtió sobre un aumento en la actividad de Lumma Stealer, impulsada por campañas CAPTCHA falsas estilo ClickFix que implementan una traducción AutoIt de CastleLoader, un cargador de malware asociado con un actor de amenazas con nombre en código GrayBravo (anteriormente TAG-150).
CastleLoader incorpora comprobaciones para determinar la presencia de software de virtualización y programas de seguridad específicos antaño de descifrar y difundir el malware chorizo en la memoria. Fuera de ClickFix, los sitios web que anuncian software descifrado y películas pirateadas sirven como cebo para cadenas de ataques basadas en CastleLoader, engañando a los usuarios para que descarguen instaladores fraudulentos o ejecutables disfrazados de archivos multimedia MP4.
Otras campañas de CastleLoader asimismo han diligente sitios web que prometen descargas de software crackeado como punto de partida para distribuir un instalador NSIS espurio que asimismo ejecuta scripts VBA ofuscados antaño de ejecutar el script AutoIt que carga Lumma Stealer. El cargador VBA está diseñado para ejecutar tareas programadas responsables de asegurar la persistencia.
“A pesar de los importantes esfuerzos de implementación de la ley en 2025, las operaciones de Lumma Stealer continuaron, demostrando resiliencia al portar rápidamente a nuevos proveedores de alojamiento y adaptar cargadores y técnicas de entrega alternativos”, dijo la empresa rumana de ciberseguridad. “En el centro de muchas de estas campañas se encuentra CastleLoader, que desempeña un papel central a la hora de ayudar a que LummaStealer se propague a través de las cadenas de entrega”.
Curiosamente, uno de los dominios en la infraestructura de CastleLoader (“testdomain123123(.)shop”) fue afectado como comando y control (C2) de Lumma Stealer, lo que indica que los operadores de las dos familias de malware están trabajando juntos o compartiendo proveedores de servicios. La mayoría de las infecciones por Lumma Stealer se han registrado en la India, seguida de Francia, Estados Unidos, España, Alemania, Brasil, México, Rumania, Italia y Canadá.
“La efectividad de ClickFix radica en su exageración de la confianza procesal más que en vulnerabilidades técnicas”, dijo Bitdefender. “Las instrucciones se asemejan a pasos de posibilidad de problemas o soluciones de comprobación que los usuarios pueden acontecer contrario anteriormente. Como resultado, las víctimas a menudo no reconocen que están ejecutando manualmente código caprichoso en su propio sistema”.
CastleLoader no es el único cargador que se utiliza para distribuir Lumma Stealer. Las campañas observadas ya en marzo de 2025 aprovecharon otro cargador denominado RenEngine Loader, y el malware se propagó bajo la apariencia de trucos de juegos y software pirateado como el editor de gráficos CorelDRAW. En estos ataques, el cargador deja paso a un cargador secundario llamado Hijack Loader, que luego implementa Lumma Stealer.
Según datos de Kaspersky, los ataques de RenEngine Loader han afectado principalmente a usuarios de Rusia, Brasil, Turquía, España, Alemania, México, Argelia, Egipto, Italia y Francia desde marzo de 2025.
Los acontecimientos coinciden con la aparición de varias campañas que utilizan señuelos de ingeniería social, incluido ClickFix, para ofrecer una variedad de ladrones y cargadores de malware.
- Una campaña de macOS que ha utilizado estrategias de phishing y publicidad maliciosa para ofrecer Odyssey Stealer, un cambio de marca de Poseidon Stealer, que a su vez es una ramificación de Atomic macOS Stealer (AMOS). El chorizo extrae credenciales y datos de 203 extensiones de billetera del navegador y 18 aplicaciones de billetera de escritorio para suministrar el robo de criptomonedas.
- “Más allá del robo de credenciales, Odyssey opera como un troyano de golpe remoto completo”, afirmó Censys. “Un LaunchDaemon persistente sondea el C2 cada 60 segundos en averiguación de comandos, lo que admite la ejecución arbitraria de shell, la reinfección y un proxy SOCKS5 para canalizar el tráfico a través de las máquinas víctimas”.
- Una dependencia de ataque ClickFix dirigida a sistemas Windows que utiliza páginas de comprobación CAPTCHA falsas en sitios web legítimos pero comprometidos para engañar a los usuarios para que ejecuten comandos de PowerShell que implementan el chorizo de información StealC.
- Una campaña de phishing por correo electrónico que utiliza un archivo SVG ladino contenido en un archivo ZIP protegido con contraseña para indicar a la víctima que ejecute un comando de PowerShell usando ClickFix, lo que finalmente resulta en la implementación de un chorizo de información .NET de código franco llamado Stealerium.
- Una campaña que explota la función de intercambio notorio de servicios de inteligencia fabricado (IA) generativa como Anthropic Claude para presentar instrucciones ClickFix maliciosas sobre cómo realizar una variedad de tareas en macOS (por ejemplo, “resolución de DNS en tilde”) y distribuir estos enlaces a través de resultados patrocinados en motores de búsqueda como Google para implementar Atomic Stealer y MacSync Stealer.
- Una campaña que dirige a los usuarios que buscan “analizador de espacio en disco CLI de macOS” a un artículo espurio de Medium que se hace suceder por el equipo de soporte de Apple para engañarlos para que ejecuten instrucciones ClickFix que entregan cargas avíos de chorizo de la ulterior etapa desde un servidor extranjero “raxelpak(.)com”.
- “El dominio C2 raxelpak(.)com tiene un historial de URL que se remonta a 2021, cuando parecía mantener un sitio de comercio electrónico de ropa de trabajo de seguridad”, dijo Moonlock Lab de MacPaw. “No está claro si el dominio fue secuestrado o simplemente caducó y volvió a registrarse por el (actor de amenazas), pero se ajusta al patrón más amplio de usar dominios antiguos con reputación existente para evitar la detección”.
- Una variación de la misma campaña que presenta instrucciones de ClickFix para supuestamente instalar Homebrew en enlaces asociados con Claude y Evernote a través de resultados patrocinados para instalar malware chorizo.
- “El anuncio muestra un dominio verdadero y obligado (claude.ai), no un sitio espurio o con errores tipográficos”, dijo AdGuard. “Hacer clic en el anuncio conduce a una página verdadero de Claude, no a una copia de phishing. La consecuencia es clara: Google Ads + una plataforma confiable y conocida + usuarios técnicos con un stop impacto posterior = un potente vector de distribución de malware”.
- Una campaña de phishing por correo electrónico de macOS que solicita a los destinatarios que descarguen y ejecuten un archivo AppleScript para solucionar supuestos problemas de compatibilidad, lo que resulta en la implementación de otro AppleScript diseñado para robar credenciales y recuperar cargas avíos de JavaScript adicionales.
- “El malware no se otorga permisos a sí mismo; en cambio, falsifica autorizaciones TCC para binarios confiables firmados por Apple (Terminal, osascript, Script Editor y bash) y luego ejecuta acciones maliciosas a través de estos binarios para heredar sus permisos”, dijo Darktrace.
- Una campaña ClearFake que emplea señuelos CAPTCHA falsos en sitios de WordPress comprometidos para activar la ejecución de un archivo de aplicación HTML (HTA) e implementar Lumma Stealer. Igualmente se sabe que la campaña utiliza inyecciones maliciosas de JavaScript para usar una técnica conocida como EtherHiding para ejecutar un pacto alojado en BNB Smart Chain y recuperar una carga útil desconocida alojada en GitHub.
- EtherHiding ofrece a los atacantes varias ventajas, permitiendo que el tráfico ladino se mezcle con la actividad legítima de Web3. Adecuado a que blockchain es inmutable y descentralizada, ofrece una longevo resiliencia frente a los esfuerzos de aniquilación.
Un disección flamante publicado por Flare descubrió que los actores de amenazas se dirigen cada vez más a Apple macOS con ladrones de información y herramientas sofisticadas.
“Casi todos los ladrones de macOS priorizan el robo de criptomonedas por encima de todo”, dijo la compañía. “Este enfoque láser refleja la verdad económica. Los usuarios de criptomonedas usan desproporcionadamente Macs. A menudo tienen un valía significativo en carteras de software. A diferencia de las cuentas bancarias, las transacciones criptográficas son irreversibles. Una vez que las frases iniciales se ven comprometidas, los fondos desaparecen permanentemente sin ningún petición”.
“La suposición de que ‘las Mac no contraen virus’ no sólo está desactualizada sino que es activamente peligrosa. Las organizaciones con usuarios de Mac necesitan capacidades de detección para TTP específicos de macOS: aplicaciones no firmadas que solicitan contraseñas, actividad terminal inusual, conexiones a nodos de blockchain para fines no financieros y patrones de filtración de datos dirigidos al almacenamiento de llaveros y navegadores”.
