{"id":160414,"date":"2025-10-08T08:10:31","date_gmt":"2025-10-08T15:10:31","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=160414"},"modified":"2025-10-10T08:51:11","modified_gmt":"2025-10-10T15:51:11","slug":"clickfix-generator-first-of-its-kind","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/clickfix-generator-first-of-its-kind\/","title":{"rendered":"La f\u00e1brica ClickFix: primera exposici\u00f3n de IUAM ClickFix Generator"},"content":{"rendered":"<h2><a id=\"post-160414-_heading=h.sj03sov3hmb9\"><\/a>Resumen ejecutivo<\/h2>\n<p>Los atacantes est\u00e1n incorporando una t\u00e9cnica de ingenier\u00eda social muy eficaz conocida como ClickFix en kits de phishing f\u00e1ciles de usar, lo que la hace accesible a un mayor n\u00famero de actores de amenazas. Esta t\u00e9cnica enga\u00f1a a las v\u00edctimas para que eludan las medidas de seguridad ejecutando manualmente malware, normalmente programas para robar informaci\u00f3n y troyanos de acceso remoto (RAT). La comercializaci\u00f3n de esta t\u00e9cnica sigue la tendencia del phishing como servicio, lo que reduce la habilidad y el esfuerzo necesarios para llevar a cabo ataques exitosos.<\/p>\n<p>Hemos descubierto un kit de phishing llamado IUAM ClickFix Generator que automatiza la creaci\u00f3n de estos ataques. El kit est\u00e1 dise\u00f1ado para generar p\u00e1ginas de phishing altamente personalizables, que atraen a las v\u00edctimas imitando los retos de verificaci\u00f3n del navegador que se utilizan a menudo para bloquear el tr\u00e1fico automatizado. Incluye funciones avanzadas, como la detecci\u00f3n del sistema operativo y la inyecci\u00f3n en el portapapeles, lo que permite un despliegue de malware multiplataforma con poco esfuerzo.<\/p>\n<p>Hemos observado al menos una campa\u00f1a en la que los atacantes utilizaron p\u00e1ginas generadas por el IUAM ClickFix Generator para implementar el malware DeerStealer. Adem\u00e1s, nuestra observaci\u00f3n de otras p\u00e1ginas con ligeras diferencias t\u00e9cnicas y visuales apunta a una tendencia m\u00e1s amplia. Esto sugiere que los adversarios est\u00e1n creando un ecosistema comercial cada vez mayor para monetizar esta t\u00e9cnica a trav\u00e9s de kits de phishing competitivos con tem\u00e1tica ClickFix.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a esta actividad gracias a los siguientes productos y servicios:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">URL Filtering avanzado<\/a> y<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Seguridad DNS avanzada<\/a> identifican como malintencionados los dominios y URL conocidos asociados con esta actividad.<\/li>\n<li>Los modelos de aprendizaje autom\u00e1tico y las t\u00e9cnicas de an\u00e1lisis de <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a> se han revisado y actualizado a la luz de los indicadores compartidos en esta investigaci\u00f3n.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a>.<\/p>\n<table style=\"width: 96.7616%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Temas relacionados con Unit 42<\/b><\/td>\n<td style=\"width: 217.248%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/clickfix-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>ClickFix<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/phishing-es-la\/\" target=\"_blank\" rel=\"noopener\">Phishing<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-160414-_heading=h.zactffwb60v4\"><\/a>Una mirada detr\u00e1s del tel\u00f3n: la cadena de montaje de ClickFix<\/h2>\n<p>Identificamos un generador de kits de phishing expuesto p\u00fablicamente alojado en un servidor HTTP con la direcci\u00f3n IP <span style=\"font-family: 'courier new', courier, monospace;\">38.242.212[.]5<\/span>, observado por primera vez el 18 de julio de 2025. Permaneci\u00f3 activo hasta principios de octubre.<\/p>\n<p>El servidor aloja una aplicaci\u00f3n web en el puerto TCP 3000, desarrollada con el marco Express y dise\u00f1ada con Tailwind CSS. La aplicaci\u00f3n sirve una p\u00e1gina HTML titulada IUAM ClickFix Generator.<\/p>\n<p>Esta herramienta permite a los actores de amenazas crear p\u00e1ginas de phishing altamente personalizables que imitan el comportamiento de desaf\u00edo-respuesta de una p\u00e1gina de verificaci\u00f3n del navegador que suelen implementar las redes de entrega de contenido (CDN) y los proveedores de seguridad en la nube para defenderse de las amenazas automatizadas. La interfaz falsificada est\u00e1 dise\u00f1ada para parecer leg\u00edtima para las v\u00edctimas, lo que aumenta la eficacia del se\u00f1uelo.<\/p>\n<p>Un actor puede configurar cada detalle a trav\u00e9s de una interfaz de usuario sencilla (Figura\u00a01), por ejemplo:<\/p>\n<ul>\n<li><strong>Configuraci\u00f3n del sitio y del mensaje <\/strong>\n<ul>\n<li>Permite personalizar el t\u00edtulo de la p\u00e1gina de phishing (por defecto: \"Un momento\u2026\") y el dominio<\/li>\n<li>Incluye mensajes de p\u00e1gina editables, texto de widgets, notas al pie y mensajes de \u00e9xito o error para atraer o dar instrucciones a las v\u00edctimas.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Configuraci\u00f3n del portapapeles <\/strong>\n<ul>\n<li>Define el contenido que se copia autom\u00e1ticamente en el portapapeles de la v\u00edctima al hacer clic en las solicitudes de verificaci\u00f3n, normalmente un comando malicioso para que lo peguen y ejecuten.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Bloqueo m\u00f3vil y ventana emergente de seguridad <\/strong>\n<ul>\n<li>Detecta el acceso m\u00f3vil y solicita a las v\u00edctimas que cambien a navegadores de escritorio y editen el componente instructivo principal que se les presenta (ventana emergente de seguridad).<\/li>\n<\/ul>\n<\/li>\n<li><strong>Configuraci\u00f3n avanzada<\/strong>\n<ul>\n<li>Habilita t\u00e9cnicas de ofuscaci\u00f3n e inyecci\u00f3n autom\u00e1tica de JavaScript en el portapapeles.<\/li>\n<li>Incluye detecci\u00f3n del sistema operativo para adaptar los comandos a Windows (S\u00edmbolo del sistema o PowerShell) o macOS (Terminal).<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<figure id=\"attachment_160415\" aria-describedby=\"caption-attachment-160415\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-160415 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-132304-160414-1.png\" alt=\"Capturas de pantalla IUAM ClickFix generator, una &quot;herramienta profesional de configuraci\u00f3n de p\u00e1ginas de phishing&quot;. Los ajustes detallados incluyen selecciones de casillas de verificaci\u00f3n, valores num\u00e9ricos y men\u00fas desplegables para la personalizaci\u00f3n y las funciones de seguridad.\" width=\"1000\" height=\"767\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-132304-160414-1.png 1268w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-132304-160414-1-574x440.png 574w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-132304-160414-1-913x700.png 913w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-132304-160414-1-768x589.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-160415\" class=\"wp-caption-text\">Figura 1. Interfaz de usuario del kit de phishing IUAM ClickFix Generator.<\/figcaption><\/figure>\n<h2><a id=\"post-160414-_heading=h.7x29xf6ike5c\"><\/a>De la f\u00e1brica a la vanguardia: campa\u00f1as en el mundo real<\/h2>\n<p>Seg\u00fan nuestro an\u00e1lisis, los atacantes han usado el kit de phishing identificado (o variantes muy parecidas) para crear varias p\u00e1ginas de phishing con el tema ClickFix. Estas p\u00e1ginas tienen un tema visual com\u00fan que imita los retos de verificaci\u00f3n del navegador que suelen usar las plataformas de seguridad web y CDN. Tambi\u00e9n usan mecanismos personalizados de detecci\u00f3n del sistema operativo y copia de comandos para enga\u00f1ar a las v\u00edctimas y que ejecuten manualmente el malware.<\/p>\n<p>Sin embargo, no todas las p\u00e1ginas de phishing identificadas comparten la misma estructura o comportamiento. Si bien confirmamos al menos un caso en el que los atacantes distribuyeron DeerStealer utilizando una p\u00e1gina generada por esta herramienta, tambi\u00e9n observamos varias otras p\u00e1ginas de phishing que difieren ligeramente en su implementaci\u00f3n t\u00e9cnica y dise\u00f1o visual. Estas diferencias incluyen:<\/p>\n<ul>\n<li>Variaciones estructurales en el dise\u00f1o HTML\/DOM.<\/li>\n<li>Mecanismos de copia de comandos modificados o completamente diferentes.<\/li>\n<li>Ausencia de l\u00f3gica JavaScript espec\u00edfica (por ejemplo, detecci\u00f3n del sistema operativo, instrucciones din\u00e1micas).<\/li>\n<li>Suplantaci\u00f3n simplificada o inconsistente de las p\u00e1ginas de desaf\u00edo del navegador.<\/li>\n<\/ul>\n<p>Estas discrepancias sugieren que existen diversas variantes del kit ClickFix, o que podr\u00eda haber distintos kits de phishing inspirados en el mismo concepto de se\u00f1uelo, pero creados de forma independiente o derivados de versiones anteriores.<\/p>\n<p>A continuaci\u00f3n, se muestran ejemplos que ilustran la variedad de p\u00e1ginas de phishing de ClickFix que hemos descubierto, cada una de las cuales presenta niveles ligeramente diferentes de sofisticaci\u00f3n, comportamiento y mecanismos de entrega.<\/p>\n<h3><a id=\"post-160414-_heading=h.i9fyesgtm8qz\"><\/a>Campa\u00f1a 1: el ataque exclusivo para Windows (DeerStealer)<\/h3>\n<p>En una campa\u00f1a, los atacantes configuraron el kit para un ataque dirigido a usuarios de Windows. El actor de amenazas no incluy\u00f3 ninguna l\u00f3gica de detecci\u00f3n del sistema operativo en esta configuraci\u00f3n. Como resultado, no configuraron la p\u00e1gina para proporcionar comandos alternativos o instrucciones espec\u00edficas para macOS u otros usuarios que no fueran de Windows.<\/p>\n<p>Cuando una v\u00edctima interact\u00faa con el elemento CAPTCHA (Figura 2) haciendo clic en una casilla de verificaci\u00f3n para confirmar que es humanoesta acci\u00f3n activa un JavaScript en segundo plano para copiar un comando PowerShell malicioso en su portapapeles. Simult\u00e1neamente, aparece una ventana emergente que le indica que abra el cuadro de di\u00e1logo Ejecutar de Windows (pulsando Win+R), pegue el contenido del portapapeles y ejecute el comando. Una vez que sigue estas instrucciones, el comando descarga y ejecuta un script por lotes de varias etapas que, en \u00faltima instancia, instala el infostealer DeerStealer.<\/p>\n<figure id=\"attachment_160426\" aria-describedby=\"caption-attachment-160426\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-160426 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-135606-160414-2.png\" alt=\"Captura de pantalla de un mensaje CAPTCHA de verificaci\u00f3n de Cloudflare que solicita al usuario que pulse teclas espec\u00edficas para confirmar que no es un robot. Se pueden ver las instrucciones y un ID CAPTCHA.\" width=\"1000\" height=\"732\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-135606-160414-2.png 1714w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-135606-160414-2-601x440.png 601w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-135606-160414-2-957x700.png 957w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-135606-160414-2-768x562.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-135606-160414-2-1536x1124.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-160426\" class=\"wp-caption-text\">Figura 2. Campa\u00f1a 1: p\u00e1gina ClickFix que distribuye DeerStealer.<\/figcaption><\/figure>\n<p>En la Figura\u00a03 se muestra el comando copiado que observamos.<\/p>\n<figure id=\"attachment_160437\" aria-describedby=\"caption-attachment-160437\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-160437 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-138936-160414-3.png\" alt=\"Captura de pantalla de un script de l\u00ednea de comandos con un comando para invocar una solicitud de red a una direcci\u00f3n IP espec\u00edfica y ejecutar un archivo por lotes.\" width=\"1000\" height=\"193\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-138936-160414-3.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-138936-160414-3-786x152.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-138936-160414-3-1920x371.png 1920w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-138936-160414-3-768x149.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-138936-160414-3-1536x297.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-160437\" class=\"wp-caption-text\">Figura 3. Estructura DOM que muestra el comando copiado en el portapapeles de la v\u00edctima.<\/figcaption><\/figure>\n<p>Cuando se ejecuta, este comando descarga un <a href=\"https:\/\/www.virustotal.com\/gui\/file\/2b74674587a65cfc9c2c47865ca8128b4f7e47142bd4f53ed6f3cb5cf37f7a6b\" target=\"_blank\" rel=\"noopener\">script por lotes<\/a> <span style=\"font-family: 'courier new', courier, monospace;\">cv.bat<\/span> (SHA256: <span style=\"font-family: 'courier new', courier, monospace;\">2b74674587a65cfc9c2c47865ca8128b4f7e47142bd4f53ed6f3cb5cf37f7a6b<\/span>) en el directorio temporal de la v\u00edctima y lo ejecuta inmediatamente.<\/p>\n<p>El an\u00e1lisis del script por lotes revela un proceso de multiples etapas dise\u00f1ado para descargar y ejecutar un <a href=\"https:\/\/www.virustotal.com\/gui\/file\/ead6b1f0add059261ac56e9453131184bc0ae2869f983b6a41a1abb167edf151\" target=\"_blank\" rel=\"noopener\">archivo MSI malicioso<\/a> (SHA256: <span style=\"font-family: 'courier new', courier, monospace;\">ead6b1f0add059261ac56e9453131184bc0ae2869f983b6a41a1abb167edf151<\/span>) identificado como el infostealer DeerStealer.<\/p>\n<h3><a id=\"post-160414-_heading=h.qss6z736bzzz\"><\/a>Campa\u00f1a\u00a02: ataque multiplataforma (Odyssey Infostealer)<\/h3>\n<p>En otro caso que observamos (Figura\u00a04), el actor de amenazas implement\u00f3 tres variaciones de la p\u00e1gina de phishing. Todas ellas terminaban en la entrega del infostealer Odyssey para usuarios de macOS y una cepa de malware a\u00fan no identificada para usuarios de Windows. A pesar de estas variaciones, la estructura central de la p\u00e1gina de phishing se mantuvo constante.<\/p>\n<figure id=\"attachment_160448\" aria-describedby=\"caption-attachment-160448\" style=\"width: 614px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-160448 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-141804-160414-4.png\" alt=\"Captura de pantalla de una p\u00e1gina de verificaci\u00f3n de seguridad de speedtestcheck.org, en la que se muestra un mensaje sobre tr\u00e1fico web inusual detectado desde la direcci\u00f3n IP del usuario. La p\u00e1gina incluye instrucciones sobre c\u00f3mo verificar la identidad humana introduciendo comandos en un terminal inform\u00e1tico, y cuenta con una casilla de verificaci\u00f3n &quot;No soy un robot&quot; y un bot\u00f3n &quot;Copiar&quot; para copiar el texto del comando.\" width=\"614\" height=\"526\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-141804-160414-4.png 614w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-141804-160414-4-514x440.png 514w\" sizes=\"(max-width: 614px) 100vw, 614px\" \/><figcaption id=\"caption-attachment-160448\" class=\"wp-caption-text\">Figura 4. Campa\u00f1a 2: p\u00e1gina ClickFix que ofrece Odyssey para macOS.<\/figcaption><\/figure>\n<p>Cada versi\u00f3n de la p\u00e1gina de phishing detecta el sistema operativo de la v\u00edctima mediante JavaScript, concretamente analizando la cadena <span style=\"font-family: 'courier new', courier, monospace;\">navigator.userAgent<\/span> del navegador, y env\u00eda una carga \u00fatil en consecuencia.<\/p>\n<p>Aunque el texto visible (Figura 4) sugiere una cadena inofensiva, al hacer clic en el bot\u00f3n Copiar se ejecuta JavaScript que coloca un comando malicioso en el portapapeles, no el que se muestra visualmente.<\/p>\n<p>Los comandos y objetivos espec\u00edficos var\u00edan entre las diferentes versiones de esta p\u00e1gina de phishing.<\/p>\n<h4><strong>Variaci\u00f3n 1: carga \u00fatil multiplataforma para Windows y macOS<br \/>\n<\/strong><\/h4>\n<p>En las variantes multiplataforma, los atacantes env\u00edan a los usuarios de Windows un comando PowerShell malicioso dise\u00f1ado para descargar y ejecutar una cepa de malware no identificada. A los usuarios de macOS les env\u00edan un comando codificado en Base64 para entregar Odyssey (Figura\u00a05).<\/p>\n<figure id=\"attachment_160459\" aria-describedby=\"caption-attachment-160459\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-160459 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-144240-160414-5.png\" alt=\"Captura de pantalla de un fragmento de c\u00f3digo inform\u00e1tico en un editor de texto que muestra sentencias condicionales en JavaScript que gestionan comandos de copia en funci\u00f3n del sistema operativo del usuario, incluidos Mac, Windows y un sistema operativo desconocido. El c\u00f3digo incluye comentarios y l\u00edneas de comando para cada condici\u00f3n.\" width=\"1000\" height=\"386\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-144240-160414-5.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-144240-160414-5-786x304.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-144240-160414-5-1812x700.png 1812w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-144240-160414-5-768x297.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-144240-160414-5-1536x593.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-160459\" class=\"wp-caption-text\">Figura\u00a05. Estructura DOM mostrando un ejemplo multiplataforma.<\/figcaption><\/figure>\n<p>Entre los ejemplos de dominios que alojaban esta variante se incluyen:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">tradingview.connect-app[.]us[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">treadingveew.dekstop-apps[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">treadingveew.last-desk[.]org<\/span><\/li>\n<\/ul>\n<h4><a id=\"post-160414-_heading=h.mumbuve0u3ii\"><\/a>Variaci\u00f3n 2: variante dirigida a macOS con se\u00f1uelo de Windows y gesti\u00f3n de respaldo.<\/h4>\n<p>En otras variantes que parecen estar enfocadas en macOS, los usuarios de macOS reciben un comando codificado en Base64 para entregar Odyssey. Los usuarios de Windows reciben un comando de PowerShell como se\u00f1uelo benigno destinado a completar la trampa de ingenier\u00eda social sin entregar una carga \u00fatil. Estos comandos de PowerShell a veces utilizan dominios con caracteres cir\u00edlicos que imitan visualmente a los latinos para parecer leg\u00edtimos (Figuras\u00a06 y 7).<\/p>\n<p>Y para las personas que utilizan sistemas operativos desconocidos (es decir, cuando falla la detecci\u00f3n del sistema operativo), la p\u00e1gina de phishing muestra un comando de aspecto benigno que tampoco da lugar a ninguna actividad maliciosa (Figuras\u00a06 y 7).<\/p>\n<figure id=\"attachment_160470\" aria-describedby=\"caption-attachment-160470\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-160470 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-147642-160414-6.png\" alt=\"Captura de pantalla de un fragmento de c\u00f3digo que incluye variables y diferentes comandos relacionados con CloudFlare.\" width=\"1000\" height=\"104\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-147642-160414-6.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-147642-160414-6-786x82.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-147642-160414-6-1920x200.png 1920w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-147642-160414-6-768x80.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-147642-160414-6-1536x160.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-160470\" class=\"wp-caption-text\">Figura 6. Estructura DOM de la p\u00e1gina de phishing que muestra los comandos condicionados del SO.<\/figcaption><\/figure>\n<figure id=\"attachment_160481\" aria-describedby=\"caption-attachment-160481\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-160481 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-150198-160414-7.png\" alt=\"Captura de pantalla de un fragmento de c\u00f3digo con comandos JavaScript utilizados para comandos de terminal, para gestionar diferentes sistemas operativos, y una variable currentThemeIsDark centrada en el sistema operativo Windows.\" width=\"1000\" height=\"126\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-150198-160414-7.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-150198-160414-7-786x99.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-150198-160414-7-1920x243.png 1920w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-150198-160414-7-768x97.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-150198-160414-7-1536x194.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-160481\" class=\"wp-caption-text\">Figura 7. Estructura DOM de la p\u00e1gina de phishing que muestra los comandos condicionados del SO.<\/figcaption><\/figure>\n<p>Entre los ejemplos de dominios que alojaban esta variante se incluyen:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">claudflurer[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">teamsonsoft[.]com<\/span><\/li>\n<\/ul>\n<h4><a id=\"post-160414-_heading=h.2rnv5yoxsesn\"><\/a>Variaci\u00f3n 3: solo para macOS, entrega exclusiva de Odyssey<\/h4>\n<p>Otra variante parece estar enfocada exclusivamente en macOS, ya que solo proporciona un \u00fanico comando codificado en Base64 que descarga y ejecuta Odyssey, sin configuraciones para otros sistemas operativos (Figura 8).<\/p>\n<figure id=\"attachment_160492\" aria-describedby=\"caption-attachment-160492\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-160492 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-152737-160414-8.png\" alt=\"Captura de pantalla de un fragmento de c\u00f3digo con comandos JavaScript utilizados para comandos de terminal.\" width=\"1000\" height=\"60\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-152737-160414-8.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-152737-160414-8-786x47.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-152737-160414-8-1920x114.png 1920w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-152737-160414-8-768x46.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-152737-160414-8-1536x92.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-160492\" class=\"wp-caption-text\">Figura 8. Ejemplo centrado en macOS sin especificaci\u00f3n del sistema operativo.<\/figcaption><\/figure>\n<p>Este comando descarga y ejecuta un infostealer Odyssey para macOS. Tambi\u00e9n utiliza <span style=\"font-family: 'courier new', courier, monospace;\">nohup<\/span> bash, que inicia un nuevo shell Bash en segundo plano que ignora los colgamientos (se\u00f1ales HUP), por lo que sigue funcionando incluso si se cierra el terminal.<\/p>\n<p>Entre los ejemplos de dominios o direcciones IP que alojaban esta variante se incluyen:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">emailreddit[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/188.92.28[.]186<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">cloudlare-lndex[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">tradingviewen[.]com<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-160414-_heading=h.n78ux8w73m06\"><\/a>Or\u00edgenes compartidos y artefactos de desarrolladores<\/h2>\n<p>A pesar de las diferencias en la l\u00f3gica de segmentaci\u00f3n y las URL de entrega de la carga \u00fatil, todas las p\u00e1ginas de phishing analizadas en la Campa\u00f1a 2 comparten una estructura subyacente id\u00e9ntica, que incluye un dise\u00f1o HTML coherente y una nomenclatura de funciones JavaScript.<\/p>\n<p>Adem\u00e1s, aunque la direcci\u00f3n espec\u00edfica del servidor de comando y control (C2) variaba entre las p\u00e1ginas, nuestro an\u00e1lisis confirm\u00f3 que todas ellas eran servidores C2 de Odyssey.<\/p>\n<p>Esta coherencia tanto en la estructura de las p\u00e1ginas como en la infraestructura C2 sugiere claramente que estas variantes forman parte del mismo grupo de actividades y que probablemente provienen de un c\u00f3digo base o una herramienta de creaci\u00f3n compartidos.<\/p>\n<p>Odyssey es una oferta de malware como servicio (MaaS) operada por un actor del cibercrimen activo en foros de la web oscura como Exploit y XSS, conocido por colaborar con otros actores y afiliados. Como tal, es viable que estas variaciones de las p\u00e1ginas de phishing reflejen implementaciones personalizadas de un kit de herramientas b\u00e1sico distribuido por el operador del malware o sus afiliados.<\/p>\n<p>Seg\u00fan las publicaciones del actor que promociona y opera Odyssey MaaS, este habr\u00eda proporcionado p\u00e1ginas de se\u00f1uelo del tipo ClickFix a los afiliados que lo solicitaron. Esto refuerza a\u00fan m\u00e1s la teor\u00eda de que estas variantes provienen de una herramienta generadora com\u00fan, pero se adaptan a cada afiliado, campa\u00f1a o preferencias individuales.<\/p>\n<p>Adem\u00e1s, algunas p\u00e1ginas conten\u00edan comentarios del desarrollador escritos en ruso (Figuras\u00a09 y 10).<\/p>\n<figure id=\"attachment_160503\" aria-describedby=\"caption-attachment-160503\" style=\"width: 718px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-160503 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-155130-160414-9.png\" alt=\"Captura de pantalla del c\u00f3digo inform\u00e1tico que incluye una funci\u00f3n JavaScript denominada notifyClick, que env\u00eda una notificaci\u00f3n de clic a trav\u00e9s de la API fetch a \u201cstats.php\u201d. El c\u00f3digo incluye un comentario en caracteres cir\u00edlicos que se traduce como \u201cFunci\u00f3n para enviar una notificaci\u00f3n de clic\u201d.\" width=\"718\" height=\"124\" \/><figcaption id=\"caption-attachment-160503\" class=\"wp-caption-text\">Figura 9. Comentario de desarrollador ruso sobrante.<\/figcaption><\/figure>\n<p>Traducci\u00f3n al espa\u00f1ol de este comentario en ruso de la Figura 9: <span style=\"font-family: 'courier new', courier, monospace;\">agregar una llamada a stats.php cuando se carga la p\u00e1gina<\/span>.<\/p>\n<figure id=\"attachment_160256\" aria-describedby=\"caption-attachment-160256\" style=\"width: 756px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-160256 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-745751-160134-10.png\" alt=\"Captura de pantalla de un comentario en caracteres cir\u00edlicos como parte de un fragmento de c\u00f3digo en una etiqueta de script que agrega una llamada de obtenci\u00f3n de \u201cstats.php\u201d cuando se carga una p\u00e1gina web. \" width=\"756\" height=\"170\" \/><figcaption id=\"caption-attachment-160256\" class=\"wp-caption-text\">Figura\u00a010. Comentario de desarrollador ruso sobrante.<\/figcaption><\/figure>\n<p>Traducci\u00f3n al espa\u00f1ol del comentario en ruso de la Figura 10: <span style=\"font-family: 'courier new', courier, monospace;\">funci\u00f3n para enviar notificaciones de clics<\/span>.<\/p>\n<p>En \u00faltima instancia, la coherencia estructural entre todas las muestras indica claramente que se generaron a partir de un \u00fanico kit de phishing configurable, con cada variante maliciosa dise\u00f1ada para distribuir el malware infostealer Odyssey.<\/p>\n<h2><a id=\"post-160414-_heading=h.s4r042oacc9y\"><\/a>Conclusi\u00f3n<\/h2>\n<p>El descubrimiento de IUAM ClickFix generator ofrece una visi\u00f3n poco habitual de las herramientas que reducen las barreras de entrada para los ciberdelincuentes, permiti\u00e9ndoles lanzar ataques sofisticados y multiplataforma sin necesidad de poseer profundos conocimientos t\u00e9cnicos. La eficacia de la t\u00e9cnica ClickFix se basa en explotar el instinto del usuario de seguir las instrucciones que aparecen en pantalla y que parecen provenir de un proveedor de seguridad de confianza.<\/p>\n<p>Esta amenaza subraya la importancia de la concienciaci\u00f3n y la vigilancia de los usuarios. Las personas y las organizaciones deben tener cuidado con cualquier sitio web que les pida que copien y ejecuten manualmente comandos para demostrar que son humanos. Esta t\u00e1ctica de ingenier\u00eda social, sencilla pero enga\u00f1osa, es una amenaza creciente que convierte las acciones de una persona en el principal vector de infecci\u00f3n.<\/p>\n<h3><a id=\"post-160414-_heading=h.1mr60tbpujgk\"><\/a>Protecci\u00f3n y mitigaci\u00f3n de Palo Alto Networks<\/h3>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas mencionadas gracias a los siguientes productos:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">URL Filtering avanzado<\/a> y<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Seguridad DNS avanzada<\/a> identifican como malintencionados los dominios y URL conocidos asociados con esta actividad.<\/li>\n<li>Los modelos de aprendizaje autom\u00e1tico y las t\u00e9cnicas de an\u00e1lisis de <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a> se han revisado y actualizado a la luz de los indicadores compartidos en esta investigaci\u00f3n.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a> est\u00e1n dise\u00f1ados para prevenir las muestras de malware descritas en esta publicaci\u00f3n mediante el uso del <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-4.x-Documentation\/Malware-protection\" target=\"_blank\" rel=\"noopener\">motor de prevenci\u00f3n de malware<\/a>. Este enfoque combina varias capas de protecci\u00f3n, entre ellas <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a>, la protecci\u00f3n contra amenazas de comportamiento y el m\u00f3dulo de an\u00e1lisis local, para impedir que el malware, tanto conocido como desconocido, cause da\u00f1os en los endpoints. Los m\u00e9todos de mitigaci\u00f3n implementan la protecci\u00f3n contra malware bas\u00e1ndose en diferentes sistemas operativos: Windows, macOS y Linux.<\/li>\n<\/ul>\n<p>Si cree que puede haber resultado comprometido o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00 800 050 45107<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente medidas de protecci\u00f3n para sus clientes y desarticular sistem\u00e1ticamente a los ciberdelincuentes. Obtenga m\u00e1s informaci\u00f3n sobre <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-160414-_heading=h.s0cgfm8ctvcf\"><\/a>Indicadores de vulneraci\u00f3n<\/h2>\n<p>En la Tabla\u00a01 se enumeran los hash SHA256 de 18\u00a0muestras de malware Odyssey y ocho muestras de DeerStealer asociadas con la actividad ClickFix de este art\u00edculo de investigaci\u00f3n sobre amenazas.<\/p>\n<table style=\"width: 99.1329%;\">\n<tbody>\n<tr>\n<td style=\"text-align: center; width: 86.7133%;\"><b>Hash SHA256<\/b><\/td>\n<td style=\"text-align: center; width: 79.8601%;\"><b>Malware<\/b><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">397ee604eb5e20905605c9418838aadccbbbfe6a15fc9146442333cfc1516273<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">7a8250904e6f079e1a952b87e55dc87e467cc560a2694a142f2d6547ac40d5e1<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">7765e5e0a7622ff69bd2cee0a75f2aae05643179b4dd333d0e75f98a42894065<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">d81cc9380673cb36a30f2a84ef155b0cbc7958daa6870096e455044fba5f9ee8<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">9c5920fa25239c0f116ce7818949ddce5fd2f31531786371541ccb4886c5aeb2<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">9090385242509a344efd734710e60a8f73719130176c726e58d32687b22067c8<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">8ed8880f40a114f58425e0a806b7d35d96aa18b2be83dede63eff0644fd7937d<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">7881a60ee0ad02130f447822d89e09352b084f596ec43ead78b51e331175450f<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">d375bb10adfd1057469682887ed0bc24b7414b7cec361031e0f8016049a143f9<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">039f82e92c592f8c39b9314eac1b2d4475209a240a7ad052b730f9ba0849a54a<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">82b73222629ce27531f57bae6800831a169dff71849e1d7e790d9bd9eb6e9ee7<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">d110059f5534360e58ff5f420851eb527c556badb8e5db87ddf52a42c1f1fe76<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">816bf9ef902251e7de73d57c4bf19a4de00311414a3e317472074ef05ab3d565<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">72633ddb45bfff1abeba3fc215077ba010ae233f8d0ceff88f7ac29c1c594ada<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">cd78a77d40682311fd30d74462fb3e614cbc4ea79c3c0894ba856a01557fd7c0<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">00c953a678c1aa115dbe344af18c2704e23b11e6c6968c46127dd3433ea73bf2<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">fe8b1b5b0ca9e7a95b33d3fcced833c1852c5a16662f71ddea41a97181532b14<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">966108cf5f3e503672d90bca3df609f603bb023f1c51c14d06cc99d2ce40790c<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">029a5405bbb6e065c8422ecc0dea42bb2689781d03ef524d9374365ebb0542f9<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">081921671d15071723cfe979633a759a36d1d15411f0a6172719b521458a987d<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">2b74674587a65cfc9c2c47865ca8128b4f7e47142bd4f53ed6f3cb5cf37f7a6b<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">6e4119fe4c8cf837dac27e2948ce74dc7af3b9d4e1e4b28d22c4cf039e18b993<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">ba5305e944d84874bde603bf38008675503244dc09071d19c8c22ded9d4f6db4<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">f2a068164ed7b173f17abe52ad95c53bccf3bb9966d75027d1e8960f7e0d43ac<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">3aee8ad1a30d09d7e40748fa36cd9f9429e698c28e2a1c3bcf88a062155eee8c<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 86.7133%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">ead6b1f0add059261ac56e9453131184bc0ae2869f983b6a41a1abb167edf151<\/span><\/td>\n<td style=\"width: 79.8601%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\"><em>Tabla\u00a01. Muestras de malware asociadas con las campa\u00f1as ClickFix mencionadas en este art\u00edculo.<\/em><\/span><\/p>\n<p>En la Tabla\u00a02 se enumeran las direcciones IPv4 de los servidores C2 utilizados por las muestras de malware Odyssey de este art\u00edculo.<\/p>\n<table style=\"width: 98.5103%;\">\n<tbody>\n<tr>\n<td style=\"text-align: center; width: 37.2642%;\"><b>Direcci\u00f3n IP<\/b><\/td>\n<td style=\"text-align: center; width: 20.9906%;\"><b>Primera vez que se vio<\/b><\/td>\n<td style=\"text-align: center; width: 20.9906%;\"><b>\u00daltima vez que se vio<\/b><\/td>\n<td style=\"text-align: center; width: 199.057%;\"><b>Malware<\/b><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: center; width: 37.2642%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">45.146.130[.]129<\/span><\/td>\n<td style=\"text-align: center; width: 20.9906%;\"><span style=\"font-weight: 400;\">2025-07-22<\/span><\/td>\n<td style=\"text-align: center; width: 20.9906%;\"><span style=\"font-weight: 400;\">2025-07-28<\/span><\/td>\n<td style=\"width: 199.057%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: center; width: 37.2642%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">45.135.232[.]33<\/span><\/td>\n<td style=\"text-align: center; width: 20.9906%;\"><span style=\"font-weight: 400;\">2025-06-15<\/span><\/td>\n<td style=\"text-align: center; width: 20.9906%;\"><span style=\"font-weight: 400;\">2025-07-18<\/span><\/td>\n<td style=\"width: 199.057%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: center; width: 37.2642%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">83.222.190[.]214<\/span><\/td>\n<td style=\"text-align: center; width: 20.9906%;\"><span style=\"font-weight: 400;\">2025-05-23<\/span><\/td>\n<td style=\"text-align: center; width: 20.9906%;\"><span style=\"font-weight: 400;\">2025-08-10<\/span><\/td>\n<td style=\"width: 199.057%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: center; width: 37.2642%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">194.26.29[.]217<\/span><\/td>\n<td style=\"text-align: center; width: 20.9906%;\"><span style=\"font-weight: 400;\">2025-06-22<\/span><\/td>\n<td style=\"text-align: center; width: 20.9906%;\"><span style=\"font-weight: 400;\">2025-06-24<\/span><\/td>\n<td style=\"width: 199.057%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: center; width: 37.2642%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">88.214.50[.]3<\/span><\/td>\n<td style=\"text-align: center; width: 20.9906%;\"><span style=\"font-weight: 400;\">2025-04-14<\/span><\/td>\n<td style=\"text-align: center; width: 20.9906%;\"><span style=\"font-weight: 400;\">2025-05-16<\/span><\/td>\n<td style=\"width: 199.057%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: center; width: 37.2642%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">45.146.130[.]132<\/span><\/td>\n<td style=\"text-align: center; width: 20.9906%;\"><span style=\"font-weight: 400;\">2025-07-01<\/span><\/td>\n<td style=\"text-align: center; width: 20.9906%;\"><span style=\"font-weight: 400;\">2025-07-28<\/span><\/td>\n<td style=\"width: 199.057%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: center; width: 37.2642%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">45.146.130[.]131<\/span><\/td>\n<td style=\"text-align: center; width: 20.9906%;\"><span style=\"font-weight: 400;\">2025-07-03<\/span><\/td>\n<td style=\"text-align: center; width: 20.9906%;\"><span style=\"font-weight: 400;\">2025-07-28<\/span><\/td>\n<td style=\"width: 199.057%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: center; width: 37.2642%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">185.93.89[.]62<\/span><\/td>\n<td style=\"text-align: center; width: 20.9906%;\"><span style=\"font-weight: 400;\">2025-07-29<\/span><\/td>\n<td style=\"text-align: center; width: 20.9906%;\"><span style=\"font-weight: 400;\">2025-09-18<\/span><\/td>\n<td style=\"width: 199.057%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\"><em>Tabla\u00a02. Direcciones IPv4 para servidores C2.<\/em><\/span><\/p>\n<p>En la Tabla\u00a03 se enumeran los nombres de dominio completos (FQDN) asociados con el malware mencionado en este art\u00edculo.<\/p>\n<table style=\"width: 95.4399%;\">\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"text-align: center; height: 24px; width: 63.9175%;\"><b>Dominio<\/b><\/td>\n<td style=\"text-align: center; height: 24px; width: 174.639%;\"><b>Malware asociado<\/b><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">Odyssey1[.]to<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">Odyssey-st[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">sdojifsfiudgigfiv[.]to<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">Charge0x[.]at<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">speedtestcheck[.]org<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">claudflurer[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">teamsonsoft[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">Macosapp-apple[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">tradingview.connect-app.us[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">treadingveew.last-desk[.]org<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">tradingviewen[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">financementure[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">Cryptoinfnews[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">Emailreddit[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">Macosxappstore[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">Cryptoinfo-news[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">Cryptoinfo-allnews[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">apposx[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">ttxttx[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">Greenpropertycert[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">cloudlare-lndex[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">Dactarhome[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">ibs-express[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">Odyssey<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">favorite-hotels[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">watchlist-verizon[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">Growsearch[.]in<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">Creatorssky[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">quirkyrealty[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">Sharanilodge[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">asmicareer[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">crm.jskymedia[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">coffeyelectric[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">Sifld.rajeshmhegde[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr style=\"height: 26px;\">\n<td style=\"height: 26px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">Pixelline[.]in<\/span><\/td>\n<td style=\"height: 26px; width: 174.639%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">techinnovhub[.]co[.]za<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">fudgeshop[.]com[.]au<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">evodigital[.]com[.]au<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"height: 25px; width: 63.9175%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">365-drive[.]com<\/span><\/td>\n<td style=\"height: 25px; width: 174.639%;\"><span style=\"font-weight: 400;\">DeerStealer<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\"><em>Tabla\u00a03. FQDN asociados con el malware mencionado en este art\u00edculo.<\/em><\/span><\/p>\n<p><strong>Nota:<\/strong> En algunos casos, la p\u00e1gina de phishing estilo ClickFix no est\u00e1 alojada en un dominio registrado por el actor de amenazas, sino que se inyecta en un sitio web leg\u00edtimo que ha sido comprometido. El actor agrega un fragmento de c\u00f3digo JavaScript malicioso que realiza varias manipulaciones DOM, incluida la inyecci\u00f3n del se\u00f1uelo de phishing ClickFix. Lo dise\u00f1an mediante Tailwind CSS, que anula el dise\u00f1o y la apariencia originales del sitio para mostrar completamente el contenido de phishing en lugar del leg\u00edtimo.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Resumen ejecutivo Los atacantes est\u00e1n incorporando una t\u00e9cnica de ingenier\u00eda social muy eficaz conocida como ClickFix en kits de phishing f\u00e1ciles de usar, lo que la hace accesible a un mayor n\u00famero de actores de amenazas. Esta t\u00e9cnica enga\u00f1a a las v\u00edctimas para que eludan las medidas de seguridad ejecutando manualmente malware, normalmente programas para<\/p>\n","protected":false},"author":366,"featured_media":160156,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8721,8838],"tags":[9671,9450,9670,9221,9222],"product_categories":[8922,8924,8925,8921,8932,8934,8935],"coauthors":[3154],"class_list":["post-160414","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-business-email-compromise-es-la","category-threat-research-es-la","tag-bash-es-la","tag-clickfix-es-la","tag-phishing-kit-es-la","tag-powershell-es-la","tag-remote-access-trojan-es-la","product_categories-advanced-dns-security-es-la","product_categories-advanced-url-filtering-es-la","product_categories-advanced-wildfire-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-cortex-es-la","product_categories-cortex-xdr-es-la","product_categories-cortex-xsiam-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>La f\u00e1brica ClickFix: primera exposici\u00f3n de IUAM ClickFix Generator<\/title>\n<meta name=\"description\" content=\"Resumen ejecutivo Los atacantes est\u00e1n incorporando una t\u00e9cnica de ingenier\u00eda social muy eficaz conocida como ClickFix en kits de phishing f\u00e1ciles de usar,\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/clickfix-generator-first-of-its-kind\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"La f\u00e1brica ClickFix: primera exposici\u00f3n de IUAM ClickFix Generator\" \/>\n<meta property=\"og:description\" content=\"Resumen ejecutivo Los atacantes est\u00e1n incorporando una t\u00e9cnica de ingenier\u00eda social muy eficaz conocida como ClickFix en kits de phishing f\u00e1ciles de usar,\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/clickfix-generator-first-of-its-kind\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-10-08T15:10:31+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-10-10T15:51:11+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/03_Malware_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Amer Elsad\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"La f\u00e1brica ClickFix: primera exposici\u00f3n de IUAM ClickFix Generator","description":"Resumen ejecutivo Los atacantes est\u00e1n incorporando una t\u00e9cnica de ingenier\u00eda social muy eficaz conocida como ClickFix en kits de phishing f\u00e1ciles de usar,","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/clickfix-generator-first-of-its-kind\/","og_locale":"es_LA","og_type":"article","og_title":"La f\u00e1brica ClickFix: primera exposici\u00f3n de IUAM ClickFix Generator","og_description":"Resumen ejecutivo Los atacantes est\u00e1n incorporando una t\u00e9cnica de ingenier\u00eda social muy eficaz conocida como ClickFix en kits de phishing f\u00e1ciles de usar,","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/clickfix-generator-first-of-its-kind\/","og_site_name":"Unit 42","article_published_time":"2025-10-08T15:10:31+00:00","article_modified_time":"2025-10-10T15:51:11+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/03_Malware_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Amer Elsad","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/clickfix-generator-first-of-its-kind\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/clickfix-generator-first-of-its-kind\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"La f\u00e1brica ClickFix: primera exposici\u00f3n de IUAM ClickFix Generator","datePublished":"2025-10-08T15:10:31+00:00","dateModified":"2025-10-10T15:51:11+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/clickfix-generator-first-of-its-kind\/"},"wordCount":3483,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/clickfix-generator-first-of-its-kind\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/03_Malware_Category_1920x900.jpg","keywords":["bash","ClickFix","Phishing Kit","PowerShell","Remote Access Trojan"],"articleSection":["correo electr\u00f3nico comercial comprometido","Investigaci\u00f3n de amenazas"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/clickfix-generator-first-of-its-kind\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/clickfix-generator-first-of-its-kind\/","name":"La f\u00e1brica ClickFix: primera exposici\u00f3n de IUAM ClickFix Generator","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/clickfix-generator-first-of-its-kind\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/clickfix-generator-first-of-its-kind\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/03_Malware_Category_1920x900.jpg","datePublished":"2025-10-08T15:10:31+00:00","dateModified":"2025-10-10T15:51:11+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Resumen ejecutivo Los atacantes est\u00e1n incorporando una t\u00e9cnica de ingenier\u00eda social muy eficaz conocida como ClickFix en kits de phishing f\u00e1ciles de usar,","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/clickfix-generator-first-of-its-kind\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/clickfix-generator-first-of-its-kind\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/clickfix-generator-first-of-its-kind\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/03_Malware_Category_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/03_Malware_Category_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of a IUAM ClickFix generator. An artistic depiction of a digital workspace featuring an open laptop with a red virus on the screen, indicating malware."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/clickfix-generator-first-of-its-kind\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"La f\u00e1brica ClickFix: primera exposici\u00f3n de IUAM ClickFix Generator"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/160414","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=160414"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/160414\/revisions"}],"predecessor-version":[{"id":160517,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/160414\/revisions\/160517"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/160156"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=160414"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=160414"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=160414"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=160414"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=160414"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}