Microsoft ha revelado detalles de una nueva versión de la táctica de ingeniería social ClickFix en la que los atacantes engañan a usuarios desprevenidos para que ejecuten comandos que realizan una búsqueda en el Sistema de nombres de dominio (DNS) para recuperar la carga útil de la siguiente etapa.
Específicamente, el ataque se basa en el uso del comando «nslookup» (abreviatura de búsqueda de servidor de nombres) para ejecutar una búsqueda de DNS personalizada activada a través del cuadro de diálogo Ejecutar de Windows.
ClickFix es una técnica cada vez más popular que tradicionalmente se entrega a través de phishing, publicidad maliciosa o esquemas de descarga no autorizada, que a menudo redirige a los objetivos a páginas de destino falsas que albergan una verificación CAPTCHA falsa o instrucciones para abordar un problema inexistente en sus computadoras ejecutando un comando a través del cuadro de diálogo Ejecutar de Windows o la aplicación Terminal de macOS.
El método de ataque se ha generalizado en los últimos dos años, ya que depende de que las víctimas infecten sus propias máquinas con malware, permitiendo así a los actores de la amenaza eludir los controles de seguridad. La efectividad de ClickFix ha sido tal que ha generado varias variantes, como FileFix, JackFix, ConsentFix, CrashFix y GlitchFix.
«En la última preparación basada en DNS que utiliza ClickFix, el comando inicial se ejecuta a través de cmd.exe y realiza una búsqueda de DNS en un servidor DNS externo codificado, en lugar del solucionador predeterminado del sistema», dijo el equipo de Microsoft Threat Intelligence en una serie de publicaciones en X. «La salida se filtra para extraer la respuesta DNS `Name:`, que se ejecuta como carga útil de segunda etapa».
Microsoft dijo que esta nueva variación de ClickFix utiliza DNS como un «canal de señalización o preparación liviano», lo que permite al actor de amenazas llegar a la infraestructura bajo su control, así como erigir una nueva capa de validación antes de ejecutar la carga útil de la segunda etapa.
«El uso de DNS de esta manera reduce la dependencia de las solicitudes web tradicionales y puede ayudar a combinar la actividad maliciosa con el tráfico normal de la red», añadió el fabricante de Windows.
Posteriormente, la carga útil descargada inicia una cadena de ataque que conduce a la descarga de un archivo ZIP desde un servidor externo («azwsappdev(.)com»), del cual se extrae y ejecuta un script Python malicioso para realizar reconocimientos, ejecutar comandos de descubrimiento y soltar un script Visual Basic (VBScript) responsable de iniciar ModeloRAT, un troyano de acceso remoto basado en Python distribuido previamente a través de CrashFix.
Para establecer la persistencia, se crea un archivo de acceso directo de Windows (LNK) que apunta a VBScript en la carpeta de inicio de Windows para que el malware se inicie automáticamente cada vez que se inicia el sistema operativo.
La divulgación se produce cuando Bitdefender advirtió sobre un aumento en la actividad de Lumma Stealer, impulsada por campañas CAPTCHA falsas estilo ClickFix que implementan una versión AutoIt de CastleLoader, un cargador de malware asociado con un actor de amenazas con nombre en código GrayBravo (anteriormente TAG-150).
CastleLoader incorpora comprobaciones para determinar la presencia de software de virtualización y programas de seguridad específicos antes de descifrar y lanzar el malware ladrón en la memoria. Fuera de ClickFix, los sitios web que anuncian software descifrado y películas pirateadas sirven como cebo para cadenas de ataques basadas en CastleLoader, engañando a los usuarios para que descarguen instaladores fraudulentos o ejecutables disfrazados de archivos multimedia MP4.
Otras campañas de CastleLoader también han aprovechado sitios web que prometen descargas de software crackeado como punto de partida para distribuir un instalador NSIS falso que también ejecuta scripts VBA ofuscados antes de ejecutar el script AutoIt que carga Lumma Stealer. El cargador VBA está diseñado para ejecutar tareas programadas responsables de garantizar la persistencia.
«A pesar de los importantes esfuerzos de aplicación de la ley en 2025, las operaciones de Lumma Stealer continuaron, demostrando resiliencia al migrar rápidamente a nuevos proveedores de alojamiento y adaptar cargadores y técnicas de entrega alternativos», dijo la empresa rumana de ciberseguridad. «En el centro de muchas de estas campañas se encuentra CastleLoader, que desempeña un papel central a la hora de ayudar a que LummaStealer se propague a través de las cadenas de entrega».
Curiosamente, uno de los dominios en la infraestructura de CastleLoader («testdomain123123(.)shop») fue marcado como comando y control (C2) de Lumma Stealer, lo que indica que los operadores de las dos familias de malware están trabajando juntos o compartiendo proveedores de servicios. La mayoría de las infecciones por Lumma Stealer se han registrado en la India, seguida de Francia, Estados Unidos, España, Alemania, Brasil, México, Rumania, Italia y Canadá.
«La efectividad de ClickFix radica en su abuso de la confianza procesal más que en vulnerabilidades técnicas», dijo Bitdefender. «Las instrucciones se asemejan a pasos de solución de problemas o soluciones de verificación que los usuarios pueden haber encontrado anteriormente. Como resultado, las víctimas a menudo no reconocen que están ejecutando manualmente código arbitrario en su propio sistema».
CastleLoader no es el único cargador que se utiliza para distribuir Lumma Stealer. Las campañas observadas ya en marzo de 2025 aprovecharon otro cargador denominado RenEngine Loader, y el malware se propagó bajo la apariencia de trucos de juegos y software pirateado como el editor de gráficos CorelDRAW. En estos ataques, el cargador deja paso a un cargador secundario llamado Hijack Loader, que luego implementa Lumma Stealer.
Según datos de Kaspersky, los ataques de RenEngine Loader han afectado principalmente a usuarios de Rusia, Brasil, Turquía, España, Alemania, México, Argelia, Egipto, Italia y Francia desde marzo de 2025.
Los acontecimientos coinciden con la aparición de varias campañas que utilizan señuelos de ingeniería social, incluido ClickFix, para ofrecer una variedad de ladrones y cargadores de malware.
- Una campaña de macOS que ha utilizado estrategias de phishing y publicidad maliciosa para ofrecer Odyssey Stealer, un cambio de marca de Poseidon Stealer, que a su vez es una bifurcación de Atomic macOS Stealer (AMOS). El ladrón extrae credenciales y datos de 203 extensiones de billetera del navegador y 18 aplicaciones de billetera de escritorio para facilitar el robo de criptomonedas.
- «Más allá del robo de credenciales, Odyssey opera como un troyano de acceso remoto completo», afirmó Censys. «Un LaunchDaemon persistente sondea el C2 cada 60 segundos en busca de comandos, lo que admite la ejecución arbitraria de shell, la reinfección y un proxy SOCKS5 para canalizar el tráfico a través de las máquinas víctimas».
- Una cadena de ataque ClickFix dirigida a sistemas Windows que utiliza páginas de verificación CAPTCHA falsas en sitios web legítimos pero comprometidos para engañar a los usuarios para que ejecuten comandos de PowerShell que implementan el ladrón de información StealC.
- Una campaña de phishing por correo electrónico que utiliza un archivo SVG malicioso contenido en un archivo ZIP protegido con contraseña para indicar a la víctima que ejecute un comando de PowerShell usando ClickFix, lo que finalmente resulta en la implementación de un ladrón de información .NET de código abierto llamado Stealerium.
- Una campaña que explota la función de intercambio público de servicios de inteligencia artificial (IA) generativa como Anthropic Claude para presentar instrucciones ClickFix maliciosas sobre cómo realizar una variedad de tareas en macOS (por ejemplo, «resolución de DNS en línea») y distribuir estos enlaces a través de resultados patrocinados en motores de búsqueda como Google para implementar Atomic Stealer y MacSync Stealer.
- Una campaña que dirige a los usuarios que buscan «analizador de espacio en disco CLI de macOS» a un artículo falso de Medium que se hace pasar por el equipo de soporte de Apple para engañarlos para que ejecuten instrucciones ClickFix que entregan cargas útiles de ladrón de la siguiente etapa desde un servidor externo «raxelpak(.)com».
- «El dominio C2 raxelpak(.)com tiene un historial de URL que se remonta a 2021, cuando parecía albergar un sitio de comercio electrónico de ropa de trabajo de seguridad», dijo Moonlock Lab de MacPaw. «No está claro si el dominio fue secuestrado o simplemente caducó y volvió a registrarse por el (actor de amenazas), pero se ajusta al patrón más amplio de aprovechar dominios antiguos con reputación existente para evitar la detección».
- Una variación de la misma campaña que presenta instrucciones de ClickFix para supuestamente instalar Homebrew en enlaces asociados con Claude y Evernote a través de resultados patrocinados para instalar malware ladrón.
- «El anuncio muestra un dominio real y reconocido (claude.ai), no un sitio falso o con errores tipográficos», dijo AdGuard. «Hacer clic en el anuncio conduce a una página real de Claude, no a una copia de phishing. La consecuencia es clara: Google Ads + una plataforma confiable y conocida + usuarios técnicos con un alto impacto posterior = un potente vector de distribución de malware».
- Una campaña de phishing por correo electrónico de macOS que solicita a los destinatarios que descarguen y ejecuten un archivo AppleScript para solucionar supuestos problemas de compatibilidad, lo que resulta en la implementación de otro AppleScript diseñado para robar credenciales y recuperar cargas útiles de JavaScript adicionales.
- «El malware no se otorga permisos a sí mismo; en cambio, falsifica autorizaciones TCC para binarios confiables firmados por Apple (Terminal, osascript, Script Editor y bash) y luego ejecuta acciones maliciosas a través de estos binarios para heredar sus permisos», dijo Darktrace.
- Una campaña ClearFake que emplea señuelos CAPTCHA falsos en sitios de WordPress comprometidos para activar la ejecución de un archivo de aplicación HTML (HTA) e implementar Lumma Stealer. También se sabe que la campaña utiliza inyecciones maliciosas de JavaScript para aprovechar una técnica conocida como EtherHiding para ejecutar un contrato alojado en BNB Smart Chain y recuperar una carga útil desconocida alojada en GitHub.
- EtherHiding ofrece a los atacantes varias ventajas, permitiendo que el tráfico malicioso se mezcle con la actividad legítima de Web3. Debido a que blockchain es inmutable y descentralizada, ofrece una mayor resiliencia frente a los esfuerzos de eliminación.
Un análisis reciente publicado por Flare descubrió que los actores de amenazas se dirigen cada vez más a Apple macOS con ladrones de información y herramientas sofisticadas.
«Casi todos los ladrones de macOS priorizan el robo de criptomonedas por encima de todo», dijo la compañía. «Este enfoque láser refleja la realidad económica. Los usuarios de criptomonedas usan desproporcionadamente Macs. A menudo tienen un valor significativo en carteras de software. A diferencia de las cuentas bancarias, las transacciones criptográficas son irreversibles. Una vez que las frases iniciales se ven comprometidas, los fondos desaparecen permanentemente sin ningún recurso».
«La suposición de que ‘las Mac no contraen virus’ no sólo está desactualizada sino que es activamente peligrosa. Las organizaciones con usuarios de Mac necesitan capacidades de detección para TTP específicos de macOS: aplicaciones no firmadas que solicitan contraseñas, actividad terminal inusual, conexiones a nodos de blockchain para fines no financieros y patrones de filtración de datos dirigidos al almacenamiento de llaveros y navegadores».