Redazione RHC : 16 julio 2025 08:20
El grupo de hackers del ransomware Interlock distribuye un troyano de acceso remoto (RAT) a través de sitios web comprometidos. Los hackers utilizan ataques FileFix para propagar el malware. Los ataques ClickFix se basan en ingeniería social. Varias variantes de estos ataques se han vuelto comunes recientemente. Normalmente, las víctimas son atraídas a sitios web fraudulentos y engañadas para que copien y ejecuten comandos maliciosos de PowerShell. En otras palabras, infectan manualmente sus sistemas con malware.
Los atacantes justifican la necesidad de ejecutar ciertos comandos solucionando problemas de visualización de contenido en el navegador o pidiendo al usuario que resuelva un CAPTCHA falso. Aunque los ataques de ClickFix suelen dirigirse a usuarios de Windows, a quienes se engaña para que ejecuten comandos de PowerShell, investigadores de seguridad ya han reportado campañas dirigidas también a usuarios de macOS y Linux.
Según ESET, el uso de ClickFix como vector de acceso inicial aumentó un 517 % entre el segundo semestre de 2024 y el primer semestre de 2025. La técnica FileFix, descrita recientemente por el experto en seguridad mr.d0x, es una variante del ataque ClickFix, pero utiliza la interfaz más conocida del Explorador de archivos de Windows en lugar de la línea de comandos del Explorador de archivos. Comando.
Por lo tanto, en la página maliciosa, se informa al usuario que se le ha otorgado acceso general a un archivo específico. Para encontrarlo, habría que copiar y pegar la ruta en el Explorador de archivos. «La página de phishing puede contener un botón ‘Abrir Explorador de archivos’ que, al hacer clic, iniciará el Explorador de archivos (mediante la función de carga de archivos) y copiará el comando de PowerShell al portapapeles», explicó mr.d0x. Esto significa que, tras introducir la ruta del archivo y pulsar Intro, se ejecutará el comando malicioso de PowerShell.
Ya a principios de mayo de 2025, el Informe DFIR y Proofpoint informaron que la RAT Interlock se distribuía a través de KongTuke (o LandUpdate808), un sofisticado sistema de entrega de tráfico (TDS) que distribuye malware mediante un proceso de varias etapas que incluye ClickFix y CAPTCHAs falsos. Como ya se sabe, los hackers cambiaron a FileFix a principios de junio y comenzaron a distribuir la variante PHP de la RAT Interlock. Los especialistas del informe de DFIR señalan que, en algunos casos, también se distribuye la variante Node.js del malware.
Una vez ejecutada, la RAT recopila información del sistema mediante comandos de PowerShell para recopilar y transmitir datos a sus operadores. El malware también verifica los privilegios del usuario conectado. La RAT se conecta al sistema y espera la ejecución de nuevos comandos. Al mismo tiempo, el informe de expertos señala que los atacantes claramente están operando el malware manualmente, revisando copias de seguridad, navegando por directorios locales y controlando controladores de dominio. Los investigadores señalan que, en algunos casos, los atacantes utilizaron RDP para moverse lateralmente en entornos comprometidos.
El malware utiliza trycloudflare[.]com como servidor de comando y control, abusando del servicio legítimo del túnel de Cloudflare para ocultar su actividad. El representante del DFIR cree que esta campaña es oportunista.
RedazioneEn Estados Unidos, una campaña de botnets coordinada a gran escala tiene como objetivo servicios basados en el Protocolo de Escritorio Remoto (RDP). La escala y la estructura organizativa de esta cam...
La semana pasada, Oracle advirtió a sus clientes sobre una vulnerabilidad crítica de día cero en su E-Business Suite (CVE-2025-61882), que permite la ejecución remota de código arbitrario sin aut...
Cuando Nick Turley se unió a OpenAI en 2022 para liderar el equipo de ChatGPT, se le encomendó la tarea de transformar la investigación empresarial en un producto comercial. Ha cumplido esta misió...
Del 6 al 9 de octubre de 2025, Varsovia albergó la 11.ª edición del Desafío Europeo de Ciberseguridad (CECA) . En una reñida competición entre 39 equipos de Estados miembros de la UE, países de...
Un nuevo anuncio publicado en un foro clandestino fue descubierto recientemente por investigadores del laboratorio de inteligencia de amenazas Dark Lab , demostrando claramente cuán activo y peligros...
