{"id":407,"date":"2026-03-30T18:00:52","date_gmt":"2026-03-30T18:00:52","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/30\/el-malware-deepload-utiliza-clickfix-y-la-persistencia-de-wmi-para-robar-credenciales-del-navegador-cyberdefensa-mx\/"},"modified":"2026-03-30T18:00:52","modified_gmt":"2026-03-30T18:00:52","slug":"el-malware-deepload-utiliza-clickfix-y-la-persistencia-de-wmi-para-robar-credenciales-del-navegador-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/30\/el-malware-deepload-utiliza-clickfix-y-la-persistencia-de-wmi-para-robar-credenciales-del-navegador-cyberdefensa-mx\/","title":{"rendered":"El malware DeepLoad utiliza ClickFix y la persistencia de WMI para robar credenciales del navegador \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Una nueva campa\u00f1a ha aprovechado la t\u00e1ctica de ingenier\u00eda social de ClickFix como una forma de distribuir un cargador de malware previamente no documentado conocido como Carga profunda<\/strong>.<\/p>\n

\u00abEs probable que utilice ofuscaci\u00f3n asistida por IA e inyecci\u00f3n de procesos para evadir el escaneo est\u00e1tico, mientras que el robo de credenciales comienza inmediatamente y captura contrase\u00f1as y sesiones incluso si el cargador principal est\u00e1 bloqueado\u00bb, afirman los investigadores de ReliaQuest Thassanai McCabe y Andrew Currie. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

El punto de partida de la cadena de ataque es un se\u00f1uelo ClickFix que enga\u00f1a a los usuarios para que ejecuten comandos de PowerShell pegando el comando en el cuadro de di\u00e1logo Ejecutar de Windows con el pretexto de abordar un problema inexistente. Este, a su vez, utiliza \u00abmshta.exe\u00bb, una utilidad leg\u00edtima de Windows para descargar y ejecutar un cargador PowerShell ofuscado.<\/p>\n

Se ha descubierto que el cargador, por su parte, oculta su funcionalidad real entre asignaciones de variables sin sentido, probablemente en un intento de enga\u00f1ar a las herramientas de seguridad. Se eval\u00faa que los actores de amenazas confiaron en una herramienta de inteligencia artificial (IA) para desarrollar la capa de ofuscaci\u00f3n.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

DeepLoad hace esfuerzos deliberados para integrarse con la actividad habitual de Windows y pasar desapercibido. Esto incluye ocultar la carga \u00fatil dentro de un ejecutable llamado \u00abLockAppHost.exe\u00bb, un proceso leg\u00edtimo de Windows que administra la pantalla de bloqueo.<\/p>\n

Adem\u00e1s, el malware oculta sus propias huellas al desactivar el historial de comandos de PowerShell e invocar directamente las funciones principales nativas de Windows en lugar de depender de los comandos integrados de PowerShell para iniciar procesos y modificar la memoria. Al hacerlo, evita los ganchos de monitoreo comunes que controlan la actividad basada en PowerShell.<\/p>\n

\u00abPara evadir la detecci\u00f3n basada en archivos, DeepLoad genera un componente secundario sobre la marcha utilizando la caracter\u00edstica incorporada de PowerShell Add-Type, que compila y ejecuta c\u00f3digo escrito en C#\u00bb, dijo ReliaQuest. \u00abEsto produce un archivo temporal de biblioteca de v\u00ednculos din\u00e1micos (DLL) que se coloca en el directorio Temp del usuario\u00bb.<\/p>\n

Esto ofrece una manera para que el malware eluda las detecciones basadas en nombres de archivos, ya que la DLL se compila cada vez que se ejecuta y se escribe con un nombre de archivo aleatorio.<\/p>\n

Otra t\u00e1ctica de evasi\u00f3n de defensa notable adoptada por DeepLoad es el uso de inyecci\u00f3n de llamada a procedimiento asincr\u00f3nico (APC)<\/a> para ejecutar la carga \u00fatil principal dentro de un proceso confiable de Windows sin una carga \u00fatil decodificada escrita en el disco despu\u00e9s de iniciar el proceso de destino en un estado suspendido, escribir shellcode en su memoria y luego reanudar la ejecuci\u00f3n del proceso.<\/p>\n

DeepLoad est\u00e1 dise\u00f1ado para facilitar el robo de credenciales extrayendo las contrase\u00f1as del navegador del host. Tambi\u00e9n elimina una extensi\u00f3n de navegador maliciosa que intercepta las credenciales a medida que se ingresan en las p\u00e1ginas de inicio de sesi\u00f3n y persiste en las sesiones de los usuarios a menos que se elimine expl\u00edcitamente.<\/p>\n

Una caracter\u00edstica m\u00e1s peligrosa del malware es su capacidad de detectar autom\u00e1ticamente cuando se conectan dispositivos de medios extra\u00edbles, como unidades USB, y copiar los archivos con malware usando nombres como \u00abChromeSetup.lnk\u00bb, \u00abFirefox Installer.lnk\u00bb y \u00abAnyDesk.lnk\u00bb para desencadenar la infecci\u00f3n una vez que se hace doble clic.<\/p>\n

\u00abDeepLoad utiliz\u00f3 el Instrumental de administraci\u00f3n de Windows (WMI) para reinfectar un host ‘limpio’ tres d\u00edas despu\u00e9s sin acci\u00f3n del usuario ni interacci\u00f3n del atacante\u00bb, explic\u00f3 ReliaQuest. \u00abWMI cumpli\u00f3 dos prop\u00f3sitos: rompi\u00f3 las cadenas de procesos padre-hijo para las cuales la mayor\u00eda de las reglas de detecci\u00f3n est\u00e1n dise\u00f1adas para detectar, y cre\u00f3 una suscripci\u00f3n de evento WMI que silenciosamente volvi\u00f3 a ejecutar el ataque m\u00e1s tarde\u00bb.<\/p>\n

Al parecer, el objetivo es implementar malware multiprop\u00f3sito que pueda realizar acciones maliciosas a lo largo de la cadena de ciberataque y eludir la detecci\u00f3n mediante controles de seguridad al evitar escribir artefactos en el disco, mezclarse con los procesos de Windows y propagarse r\u00e1pidamente a otras m\u00e1quinas.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

La divulgaci\u00f3n viene como G DATA detallado<\/a> otro cargador de malware denominado Kiss Loader que se distribuye a trav\u00e9s de archivos de acceso directo a Internet (URL) de Windows adjuntos a correos electr\u00f3nicos de phishing, que luego se conecta a un recurso WebDAV remoto alojado en un dominio TryCloudflare para ofrecer un acceso directo secundario que se hace pasar por un documento PDF.<\/p>\n

Una vez ejecutado, el acceso directo inicia un script WSH responsable de ejecutar un componente JavaScript, que procede a recuperar y ejecutar un script por lotes que muestra un PDF se\u00f1uelo, configura la persistencia en la carpeta Inicio y descarga el Kiss Loader basado en Python. En la etapa final, el cargador descifra y ejecuta Venom RAT, una variante de AsyncRAT, usando inyecci\u00f3n APC<\/a>.<\/p>\n

Actualmente no se sabe qu\u00e9 tan extendidos est\u00e1n los ataques que implementan Kiss Loader y si se ofrece bajo un modelo de malware como servicio (MaaS). Dicho esto, el actor de amenazas detr\u00e1s del cargador afirma ser de Malawi.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Una nueva campa\u00f1a ha aprovechado la t\u00e1ctica de ingenier\u00eda social de ClickFix como una forma de distribuir un cargador de malware previamente no documentado conocido como Carga profunda. \u00abEs probable que utilice ofuscaci\u00f3n asistida por IA e inyecci\u00f3n de procesos para evadir el escaneo est\u00e1tico, mientras que el robo de credenciales comienza inmediatamente y captura […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[528,469,24,1410,70,60,396,36,1411,703,216,1412],"class_list":["post-407","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-clickfix","tag-credenciales","tag-cyberdefensa-mx","tag-deepload","tag-del","tag-malware","tag-navegador","tag-para","tag-persistencia","tag-robar","tag-utiliza","tag-wmi"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/407","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=407"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/407\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=407"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=407"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=407"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}