{"id":169,"date":"2026-03-06T09:57:20","date_gmt":"2026-03-06T09:57:20","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/06\/microsoft-revela-la-campana-clickfix-que-utiliza-la-terminal-de-windows-para-implementar-lumma-stealer-cyberdefensa-mx\/"},"modified":"2026-03-06T09:57:20","modified_gmt":"2026-03-06T09:57:20","slug":"microsoft-revela-la-campana-clickfix-que-utiliza-la-terminal-de-windows-para-implementar-lumma-stealer-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/06\/microsoft-revela-la-campana-clickfix-que-utiliza-la-terminal-de-windows-para-implementar-lumma-stealer-cyberdefensa-mx\/","title":{"rendered":"Microsoft revela la campa\u00f1a ClickFix que utiliza la terminal de Windows para implementar Lumma Stealer \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Microsoft revel\u00f3 el jueves detalles de una nueva campa\u00f1a generalizada de ingenier\u00eda social ClickFix que ha aprovechado la Aplicaci\u00f3n de terminal de Windows<\/a> como una forma de activar una cadena de ataque sofisticada y desplegar el malware Lumma Stealer.<\/p>\n

La actividad, observada en febrero de 2026, utiliza el programa emulador de terminal en lugar de indicar a los usuarios que inicien el cuadro de di\u00e1logo Ejecutar de Windows y peguen un comando en \u00e9l.<\/p>\n

\u00abEsta campa\u00f1a instruye a los objetivos a utilizar el acceso directo Windows + X \u2192 I para iniciar Windows Terminal (wt.exe) directamente, guiando a los usuarios a un entorno de ejecuci\u00f3n de comandos privilegiado que se integra con flujos de trabajo administrativos leg\u00edtimos y parece m\u00e1s confiable para los usuarios\u00bb, dijo el equipo de Microsoft Threat Intelligence. dicho<\/a> en una serie de publicaciones sobre X.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Lo que hace que la \u00faltima variante sea notable es que elude las detecciones dise\u00f1adas espec\u00edficamente para se\u00f1alar el abuso en el cuadro de di\u00e1logo Ejecutar, sin mencionar el aprovechamiento de la legitimidad de Windows Terminal para enga\u00f1ar a usuarios desprevenidos para que ejecuten comandos maliciosos entregados a trav\u00e9s de p\u00e1ginas CAPTCHA falsas, mensajes de soluci\u00f3n de problemas u otros se\u00f1uelos de estilo de verificaci\u00f3n.<\/p>\n

La cadena de ataque posterior al compromiso tambi\u00e9n es \u00fanica: cuando el usuario pega un comando codificado en hexadecimal y comprimido XOR copiado de la p\u00e1gina de se\u00f1uelo ClickFix en una sesi\u00f3n de Terminal de Windows, abarca instancias adicionales de Terminal\/PowerShell para finalmente invocar un proceso de PowerShell responsable de decodificar el script.<\/p>\n

Esto, a su vez, conduce a la descarga de una carga \u00fatil ZIP y un binario 7-Zip leg\u00edtimo pero renombrado, el \u00faltimo de los cuales se guarda en el disco con un nombre de archivo aleatorio. Luego, la utilidad procede a extraer el contenido del archivo ZIP, lo que desencadena una cadena de ataque de varias etapas que implica los siguientes pasos:<\/p>\n