Redazione RHC : 16 julio 2025 08:20
El grupo de hackers del ransomware Interlock distribuye un troyano de acceso remoto (RAT) a través de sitios web comprometidos. Los hackers utilizan ataques FileFix para propagar el malware. Los ataques ClickFix se basan en ingeniería social. Varias variantes de estos ataques se han vuelto comunes recientemente. Normalmente, las víctimas son atraídas a sitios web fraudulentos y engañadas para que copien y ejecuten comandos maliciosos de PowerShell. En otras palabras, infectan manualmente sus sistemas con malware.
Los atacantes justifican la necesidad de ejecutar ciertos comandos solucionando problemas de visualización de contenido en el navegador o pidiendo al usuario que resuelva un CAPTCHA falso. Aunque los ataques de ClickFix suelen dirigirse a usuarios de Windows, a quienes se engaña para que ejecuten comandos de PowerShell, investigadores de seguridad ya han reportado campañas dirigidas también a usuarios de macOS y Linux.
Según ESET, el uso de ClickFix como vector de acceso inicial aumentó un 517 % entre el segundo semestre de 2024 y el primer semestre de 2025. La técnica FileFix, descrita recientemente por el experto en seguridad mr.d0x, es una variante del ataque ClickFix, pero utiliza la interfaz más conocida del Explorador de archivos de Windows en lugar de la línea de comandos del Explorador de archivos. Comando.
Por lo tanto, en la página maliciosa, se informa al usuario que se le ha otorgado acceso general a un archivo específico. Para encontrarlo, habría que copiar y pegar la ruta en el Explorador de archivos. «La página de phishing puede contener un botón ‘Abrir Explorador de archivos’ que, al hacer clic, iniciará el Explorador de archivos (mediante la función de carga de archivos) y copiará el comando de PowerShell al portapapeles», explicó mr.d0x. Esto significa que, tras introducir la ruta del archivo y pulsar Intro, se ejecutará el comando malicioso de PowerShell.
Ya a principios de mayo de 2025, el Informe DFIR y Proofpoint informaron que la RAT Interlock se distribuía a través de KongTuke (o LandUpdate808), un sofisticado sistema de entrega de tráfico (TDS) que distribuye malware mediante un proceso de varias etapas que incluye ClickFix y CAPTCHAs falsos. Como ya se sabe, los hackers cambiaron a FileFix a principios de junio y comenzaron a distribuir la variante PHP de la RAT Interlock. Los especialistas del informe de DFIR señalan que, en algunos casos, también se distribuye la variante Node.js del malware.
Una vez ejecutada, la RAT recopila información del sistema mediante comandos de PowerShell para recopilar y transmitir datos a sus operadores. El malware también verifica los privilegios del usuario conectado. La RAT se conecta al sistema y espera la ejecución de nuevos comandos. Al mismo tiempo, el informe de expertos señala que los atacantes claramente están operando el malware manualmente, revisando copias de seguridad, navegando por directorios locales y controlando controladores de dominio. Los investigadores señalan que, en algunos casos, los atacantes utilizaron RDP para moverse lateralmente en entornos comprometidos.
El malware utiliza trycloudflare[.]com como servidor de comando y control, abusando del servicio legítimo del túnel de Cloudflare para ocultar su actividad. El representante del DFIR cree que esta campaña es oportunista.
Expertos en seguridad han revelado una falla crítica de seguridad en HTTP/1.1, lo que pone de relieve una amenaza que ha seguido afectando a la infraestructura web durante más de seis añ...
Un descubrimiento reciente ha revelado una sofisticada técnica que elude el Control de Cuentas de Usuario (UAC) de Windows, lo que permite la escalada de privilegios sin la intervención del ...
En los últimos meses, el debate sobre la inteligencia artificial ha adquirido tintes cada vez más extremos. Por un lado, las grandes empresas que desarrollan y venden soluciones de IA est&#x...
Los sitios de filtración de datos (DLS) de bandas de ransomware representan una amenaza cada vez más extendida para las empresas y las personas que utilizan Internet. Estos sitios fueron cre...
Desde hace algunos años se habla mucho sobre la deep web y la dark web, y muchos se preguntan: ¿pero qué significa esto exactamente? La dark web a menudo se asocia con actividades sospe...