Volver al Hub

La evolución de ClickFix: estafadores ahora abusan de Windows Terminal para desplegar stealers

Investigadores de seguridad de Microsoft han emitido una advertencia detallada sobre una evolución significativa en la campaña de ingeniería social de larga data conocida como 'ClickFix'. Esta amenaza, que históricamente se basaba en engañar a los usuarios a través del cuadro de diálogo 'Ejecutar' de Windows, ha adoptado ahora un enfoque más sofisticado y sigiloso al convertir en arma la aplicación Windows Terminal. Este cambio marca una tendencia preocupante en la que los atacantes abusan cada vez más de herramientas legítimas y confiables del sistema para dar credibilidad a sus operaciones maliciosas y eludir las defensas de los usuarios.

El señuelo central de ingeniería social sigue siendo el mismo. Los atacantes suelen iniciar el contacto a través de plataformas como Microsoft Teams, Slack o correo electrónico, haciéndose pasar por soporte técnico, personal de TI o un compañero de trabajo. Afirman que el sistema del usuario tiene un problema crítico —a menudo un falso error 'ClickFix'— que requiere atención inmediata. Anteriormente, las instrucciones guiaban a la víctima para abrir el cuadro de diálogo Ejecutar (Win+R) y pegar un comando malicioso. La nueva táctica instruye al usuario para que abra Windows Terminal, una aplicación moderna de línea de comandos con pestañas múltiples que es un componente predeterminado en las versiones actuales de Windows y que muchos perciben como una herramienta administrativa legítima.

Una vez que el usuario abre Windows Terminal, se le indica que pegue y ejecute un comando específico de PowerShell. Este comando es el mecanismo crítico de entrega de la carga útil. Está diseñado para descargar y ejecutar un script secundario o un ejecutable malicioso desde un servidor remoto controlado por el atacante. La carga útil final en estas campañas recientes ha sido frecuentemente Lumma Stealer (también conocido como LummaC2), un potente malware robador de información que se vende como Malware-como-Servicio (MaaS) en foros clandestinos.

Lumma Stealer es una amenaza significativa por sí misma. Es capaz de recolectar una amplia gama de datos sensibles de una máquina infectada. Esto incluye credenciales almacenadas en navegadores web (contraseñas, datos de autocompletar), cookies y tokens de sesión, información de carteras de criptomonedas y semillas (seeds), archivos de directorios específicos y datos de aplicaciones de mensajería como Telegram y Discord. La información robada se exfiltra luego a un servidor de comando y control (C2), donde puede usarse para realizar más ataques, venderse en la dark web o aprovecharse para el robo financiero directo, particularmente de cuentas de criptomonedas.

El cambio estratégico del cuadro de diálogo Ejecutar a Windows Terminal no es meramente cosmético. Representa un esfuerzo calculado para aumentar la tasa de éxito del ataque de ingeniería social. Windows Terminal es una aplicación firmada por Microsoft, y su uso no activa las mismas alertas inmediatas que recibir instrucciones para descargar un archivo .exe desconocido. Para usuarios menos técnicos, que les guíen para usar un programa llamado 'Terminal' que ya está en su computadora puede parecer un paso legítimo de solución de problemas. Este abuso de la confianza en las herramientas nativas es un desafío creciente para los defensores.

Implicaciones para la Comunidad de Ciberseguridad
Esta evolución tiene varias implicaciones clave para los profesionales de seguridad y las organizaciones:

  1. Erosión de la Confianza en Herramientas Nativas: El abuso de herramientas como Windows Terminal, PowerShell y otras difumina la línea entre la administración legítima y la actividad maliciosa. Las soluciones de monitorización de seguridad ahora deben escrutinar el contexto y la intención detrás del uso de estas herramientas, no solo su ejecución.
  2. Mayor Eficacia de la Ingeniería Social: Al incorporar una aplicación legítima del sistema en la cadena de ataque, los actores de amenazas bajan la guardia de la víctima. Los programas de formación en concienciación de seguridad deben actualizarse para enseñar a los usuarios que las instrucciones maliciosas pueden llegar a través de cualquier interfaz confiable.
  3. Desafíos de Detección: Los comandos maliciosos ejecutados dentro de Windows Terminal pueden ser más difíciles de distinguir de la actividad legítima de un administrador a nivel de endpoint. Esto requiere analíticas de comportamiento más avanzadas que busquen secuencias anómalas de comandos, conexiones de red inusuales tras el uso del terminal o la ejecución de scripts/cargas útiles maliciosas conocidas.
  4. El Factor MaaS: El uso de stealers comerciales como Lumma reduce la barrera de entrada para los atacantes, permitiendo que grupos menos sofisticados desplieguen malware de alto impacto. Los defensores deben asumir que estas tácticas de ingeniería social en evolución serán adoptadas rápidamente por una amplia gama de actores de amenazas.

Recomendaciones para la Defensa
Para mitigar el riesgo que plantea esta campaña ClickFix evolucionada y amenazas similares, las organizaciones deberían considerar un enfoque de múltiples capas:

  • Actualizar la Formación de Usuarios: Incorporar inmediatamente ejemplos específicos de este vector de ataque en los materiales de concienciación de seguridad. Enfatizar que ningún personal de soporte legítimo pedirá jamás a un usuario que ejecute comandos arbitrarios en Terminal, PowerShell o el cuadro de diálogo Ejecutar.
  • Implementar Control de Aplicaciones: Cuando sea factible, utilizar listas de permitidos de aplicaciones o políticas para restringir la ejecución de PowerShell y motores de scripting solo a usuarios y sistemas autorizados.
  • Mejorar la Monitorización de Endpoints: Desplegar soluciones EDR/XDR capaces de correlacionar el linaje de procesos. Debería generarse una alerta si Windows Terminal genera procesos que descargan contenido de Internet o exhiben comportamientos propios de un stealer (por ejemplo, acceder a archivos de datos del navegador).
  • Segmentación y Filtrado de Red: Utilizar puertas de enlace web y firewalls para bloquear conexiones a IPs y dominios maliciosos conocidos. Dado que la carga útil inicial se descarga, bloquear la URL objetivo del comando inicial puede romper la cadena de ataque.
  • Principio de Mínimo Privilegio: Asegurarse de que las cuentas de usuario estándar no tengan privilegios administrativos, lo que puede limitar el daño de una infección exitosa.

La evolución de la campaña ClickFix del cuadro de diálogo Ejecutar a Windows Terminal es una señal clara de que los actores de amenazas están refinando continuamente sus guiones de ingeniería social. Al explotar la confianza inherente que los usuarios depositan en las herramientas propias de su sistema operativo, logran un mayor nivel de engaño. Para la comunidad de ciberseguridad, esto subraya la necesidad perpetua de adaptar las estrategias defensivas, avanzando más allá de los indicadores estáticos de compromiso y hacia una comprensión más profunda del comportamiento y la intención maliciosos, independientemente de la aplicación en la que llegue.

Fuentes originales

NewsSearcher

Este artículo fue generado por nuestro sistema NewsSearcher de IA, que analiza y sintetiza información de múltiples fuentes confiables.

Microsoft warns ClickFix attacks targeting Windows Terminal to trick users into running malware

TechRadar
Ver fuente

New Windows Malware Impersonates Everyday Apps To Infect Your Computer

BGR
Ver fuente

⚠️ Fuentes utilizadas como referencia. CSRaid no se responsabiliza por el contenido de sitios externos.

Por Alvaro Salinas Cybersecurity Engineer
Malware
Este artículo fue redactado con asistencia de IA y supervisado por nuestro equipo editorial.

Comentarios 0

¡Únete a la conversación!

Sé el primero en compartir tu opinión sobre este artículo.