Una nueva táctica de ataque cibernético se ha vuelto preocupante. Los delincuentes aprovechan la fatiga de los usuarios con los CAPTCHA, logrando que ejecuten código dañino sin darse cuenta.
Informe – SentinelLabs, la unidad de investigación de SentinelOne, ha detectado una campaña de malware denominada ClickFix. Esta técnica utiliza CAPTCHA falsos para propagar software malicioso. Los atacantes se aprovechan de la frustración de los usuarios con procesos de verificación repetitivos. Así, logran evadir la seguridad habitual e inducen a sus víctimas a descargar malware. Los expertos de SentinelOne advierten un aumento alarmante de estos ataques en meses recientes y hacen un llamado a la precaución.
Estrategias de engaño más sofisticadas
ClickFix se difunde a través de sitios legítimos comprometidos, correos electrónicos fraudulentos, y redes sociales. En lugar de optar por enfoques complejos, ClickFix se basa en la participación activa de la víctima. Estas personas, al intentar continuar con su navegación, siguen instrucciones engañosas, creyendo que resuelven un CAPTCHA auténtico. En realidad, activan un script de PowerShell que descarga malware, como LummaStealer o NetSupport RAT.
Código malicioso oculto en interacciones cotidianas
ClickFix utiliza herramientas legítimas de Windows, conocidas como LOLBINS, para eludir las medidas de protección convencionales. Los scripts se incorporan dentro de CAPTCHA HTML o se envían como archivos adjuntos. Al ejecutarse, estos scripts permiten que los atacantes tomen el control remoto del dispositivo o roben información sensible.
Según SentinelLabs, esta táctica, simple pero altamente eficaz, juega con hábitos comunes de los usuarios, dificultando así la detección inicial del ataque.
Prevención y protección contra ClickFix
Para combatir esta amenaza emergente, es esencial contar con una vigilancia activa. Con herramientas adecuadas, se puede neutralizar ClickFix antes de que cause estragos. SentinelLabs ofrece recomendaciones útiles:
- Educar a los usuarios: ningún sitio legítimo solicita pegar código en la ventana “Ejecutar”.
- Promover la precaución: cualquier solicitud inusual en un proceso de verificación debe ser considerada sospechosa.
- Limitar el acceso a PowerShell mediante políticas de grupo.
- Implementar una protección EDR moderna para detectar comportamientos anómalos.
El informe completo está disponible: AQUÍ.
Como joven medio de comunicación independiente, Seguridad y Firewall necesita tu ayuda. Apóyanos siguiéndonos y marcándonos como favoritos en Google News. Gracias por tu apoyo.
