Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
Red Hot Cyber Academy

Los piratas informáticos utilizan ClickFix y FileFix para propagar el troyano Interlock

Redazione RHC : 16 julio 2025 08:20

El grupo de hackers del ransomware Interlock distribuye un troyano de acceso remoto (RAT) a través de sitios web comprometidos. Los hackers utilizan ataques FileFix para propagar el malware. Los ataques ClickFix se basan en ingeniería social. Varias variantes de estos ataques se han vuelto comunes recientemente. Normalmente, las víctimas son atraídas a sitios web fraudulentos y engañadas para que copien y ejecuten comandos maliciosos de PowerShell. En otras palabras, infectan manualmente sus sistemas con malware.

Los atacantes justifican la necesidad de ejecutar ciertos comandos solucionando problemas de visualización de contenido en el navegador o pidiendo al usuario que resuelva un CAPTCHA falso. Aunque los ataques de ClickFix suelen dirigirse a usuarios de Windows, a quienes se engaña para que ejecuten comandos de PowerShell, investigadores de seguridad ya han reportado campañas dirigidas también a usuarios de macOS y Linux.

Según ESET, el uso de ClickFix como vector de acceso inicial aumentó un 517 % entre el segundo semestre de 2024 y el primer semestre de 2025. La técnica FileFix, descrita recientemente por el experto en seguridad mr.d0x, es una variante del ataque ClickFix, pero utiliza la interfaz más conocida del Explorador de archivos de Windows en lugar de la línea de comandos del Explorador de archivos. Comando.

Por lo tanto, en la página maliciosa, se informa al usuario que se le ha otorgado acceso general a un archivo específico. Para encontrarlo, habría que copiar y pegar la ruta en el Explorador de archivos. «La página de phishing puede contener un botón ‘Abrir Explorador de archivos’ que, al hacer clic, iniciará el Explorador de archivos (mediante la función de carga de archivos) y copiará el comando de PowerShell al portapapeles», explicó mr.d0x. Esto significa que, tras introducir la ruta del archivo y pulsar Intro, se ejecutará el comando malicioso de PowerShell.

Ya a principios de mayo de 2025, el Informe DFIR y Proofpoint informaron que la RAT Interlock se distribuía a través de KongTuke (o LandUpdate808), un sofisticado sistema de entrega de tráfico (TDS) que distribuye malware mediante un proceso de varias etapas que incluye ClickFix y CAPTCHAs falsos. Como ya se sabe, los hackers cambiaron a FileFix a principios de junio y comenzaron a distribuir la variante PHP de la RAT Interlock. Los especialistas del informe de DFIR señalan que, en algunos casos, también se distribuye la variante Node.js del malware.

Una vez ejecutada, la RAT recopila información del sistema mediante comandos de PowerShell para recopilar y transmitir datos a sus operadores. El malware también verifica los privilegios del usuario conectado. La RAT se conecta al sistema y espera la ejecución de nuevos comandos. Al mismo tiempo, el informe de expertos señala que los atacantes claramente están operando el malware manualmente, revisando copias de seguridad, navegando por directorios locales y controlando controladores de dominio. Los investigadores señalan que, en algunos casos, los atacantes utilizaron RDP para moverse lateralmente en entornos comprometidos.

El malware utiliza trycloudflare[.]com como servidor de comando y control, abusando del servicio legítimo del túnel de Cloudflare para ocultar su actividad. El representante del DFIR cree que esta campaña es oportunista.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

¡HTTP/1.1 debe desaparecer! Vulnerabilidades críticas ponen en riesgo millones de sitios web.
Di Redazione RHC - 08/08/2025

Expertos en seguridad han revelado una falla crítica de seguridad en HTTP/1.1, lo que pone de relieve una amenaza que ha seguido afectando a la infraestructura web durante más de seis añ...

Una nueva técnica de escalada de privilegios (PE) permite omitir el UAC en Windows
Di Redazione RHC - 08/08/2025

Un descubrimiento reciente ha revelado una sofisticada técnica que elude el Control de Cuentas de Usuario (UAC) de Windows, lo que permite la escalada de privilegios sin la intervención del ...

Pánico por la IA: estamos entrando en la fase más peligrosa de la revolución digital
Di Redazione RHC - 08/08/2025

En los últimos meses, el debate sobre la inteligencia artificial ha adquirido tintes cada vez más extremos. Por un lado, las grandes empresas que desarrollan y venden soluciones de IA est&#x...

¿Qué son los sitios de filtración de datos de bandas de ransomware?
Di Redazione RHC - 07/08/2025

Los sitios de filtración de datos (DLS) de bandas de ransomware representan una amenaza cada vez más extendida para las empresas y las personas que utilizan Internet. Estos sitios fueron cre...

Descubriendo la Deep Web y la Dark Web: La guía definitiva
Di Antonio Piovesan - 07/08/2025

Desde hace algunos años se habla mucho sobre la deep web y la dark web, y muchos se preguntan: ¿pero qué significa esto exactamente? La dark web a menudo se asocia con actividades sospe...