Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

Los piratas informáticos utilizan ClickFix y FileFix para propagar el troyano Interlock

Redazione RHC : 16 julio 2025 08:20

El grupo de hackers del ransomware Interlock distribuye un troyano de acceso remoto (RAT) a través de sitios web comprometidos. Los hackers utilizan ataques FileFix para propagar el malware. Los ataques ClickFix se basan en ingeniería social. Varias variantes de estos ataques se han vuelto comunes recientemente. Normalmente, las víctimas son atraídas a sitios web fraudulentos y engañadas para que copien y ejecuten comandos maliciosos de PowerShell. En otras palabras, infectan manualmente sus sistemas con malware.

Los atacantes justifican la necesidad de ejecutar ciertos comandos solucionando problemas de visualización de contenido en el navegador o pidiendo al usuario que resuelva un CAPTCHA falso. Aunque los ataques de ClickFix suelen dirigirse a usuarios de Windows, a quienes se engaña para que ejecuten comandos de PowerShell, investigadores de seguridad ya han reportado campañas dirigidas también a usuarios de macOS y Linux.

Según ESET, el uso de ClickFix como vector de acceso inicial aumentó un 517 % entre el segundo semestre de 2024 y el primer semestre de 2025. La técnica FileFix, descrita recientemente por el experto en seguridad mr.d0x, es una variante del ataque ClickFix, pero utiliza la interfaz más conocida del Explorador de archivos de Windows en lugar de la línea de comandos del Explorador de archivos. Comando.

Por lo tanto, en la página maliciosa, se informa al usuario que se le ha otorgado acceso general a un archivo específico. Para encontrarlo, habría que copiar y pegar la ruta en el Explorador de archivos. «La página de phishing puede contener un botón ‘Abrir Explorador de archivos’ que, al hacer clic, iniciará el Explorador de archivos (mediante la función de carga de archivos) y copiará el comando de PowerShell al portapapeles», explicó mr.d0x. Esto significa que, tras introducir la ruta del archivo y pulsar Intro, se ejecutará el comando malicioso de PowerShell.

Ya a principios de mayo de 2025, el Informe DFIR y Proofpoint informaron que la RAT Interlock se distribuía a través de KongTuke (o LandUpdate808), un sofisticado sistema de entrega de tráfico (TDS) que distribuye malware mediante un proceso de varias etapas que incluye ClickFix y CAPTCHAs falsos. Como ya se sabe, los hackers cambiaron a FileFix a principios de junio y comenzaron a distribuir la variante PHP de la RAT Interlock. Los especialistas del informe de DFIR señalan que, en algunos casos, también se distribuye la variante Node.js del malware.

Una vez ejecutada, la RAT recopila información del sistema mediante comandos de PowerShell para recopilar y transmitir datos a sus operadores. El malware también verifica los privilegios del usuario conectado. La RAT se conecta al sistema y espera la ejecución de nuevos comandos. Al mismo tiempo, el informe de expertos señala que los atacantes claramente están operando el malware manualmente, revisando copias de seguridad, navegando por directorios locales y controlando controladores de dominio. Los investigadores señalan que, en algunos casos, los atacantes utilizaron RDP para moverse lateralmente en entornos comprometidos.

El malware utiliza trycloudflare[.]com como servidor de comando y control, abusando del servicio legítimo del túnel de Cloudflare para ocultar su actividad. El representante del DFIR cree que esta campaña es oportunista.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

¡Que comience la caza! Hackers aprovechan una falla de Citrix para infiltrarse en sistemas globales.
Di Redazione RHC - 30/08/2025

Se ha descubierto una falla crítica de día cero, clasificada como CVE-2025-6543, en los sistemas Citrix NetScaler. Esta vulnerabilidad ha sido explotada activamente por hackers maliciosos desde mayo...

Un exploit de WhatsApp sin necesidad de hacer clic permitía la vigilancia remota. Meta advierte a las víctimas
Di Redazione RHC - 30/08/2025

Una falla de seguridad en las apps de mensajería de WhatsApp para iOS y macOS de Apple ha sido corregida, según informó la compañía, tras ser probablemente explotada ampliamente junto con una vul...

Vulnerabilidades críticas en NetScaler ADC y Gateway. ¡Actualízate ahora! ¡Los ataques continúan!
Di Redazione RHC - 28/08/2025

NetScaler ha alertado a los administradores sobre tres nuevas vulnerabilidades en NetScaler ADC y NetScaler Gateway, una de las cuales ya se está utilizando en ataques activos. Hay actualizaciones di...

Microsoft Teams se bloquea: los documentos de Office integrados no se pueden abrir
Di Luca Galuppi - 28/08/2025

Un Jueves Negro para millones de usuarios de Microsoft Teams en todo el mundo. Una función clave de la plataforma de colaboración, la apertura de documentos incrustados de Office, ha sido repentinam...

¡Llega la Novia Robot! La nueva frontera de la tecnología china.
Di Redazione RHC - 15/08/2025

Mientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la aparición de un ...