Los piratas informáticos utilizan ClickFix y FileFix para propagar el troyano Interlock

Redazione RHC : 16 julio 2025 08:20

El grupo de hackers del ransomware Interlock distribuye un troyano de acceso remoto (RAT) a través de sitios web comprometidos. Los hackers utilizan ataques FileFix para propagar el malware. Los ataques ClickFix se basan en ingeniería social. Varias variantes de estos ataques se han vuelto comunes recientemente. Normalmente, las víctimas son atraídas a sitios web fraudulentos y engañadas para que copien y ejecuten comandos maliciosos de PowerShell. En otras palabras, infectan manualmente sus sistemas con malware.

Los atacantes justifican la necesidad de ejecutar ciertos comandos solucionando problemas de visualización de contenido en el navegador o pidiendo al usuario que resuelva un CAPTCHA falso. Aunque los ataques de ClickFix suelen dirigirse a usuarios de Windows, a quienes se engaña para que ejecuten comandos de PowerShell, investigadores de seguridad ya han reportado campañas dirigidas también a usuarios de macOS y Linux.

Según ESET, el uso de ClickFix como vector de acceso inicial aumentó un 517 % entre el segundo semestre de 2024 y el primer semestre de 2025. La técnica FileFix, descrita recientemente por el experto en seguridad mr.d0x, es una variante del ataque ClickFix, pero utiliza la interfaz más conocida del Explorador de archivos de Windows en lugar de la línea de comandos del Explorador de archivos. Comando.

Por lo tanto, en la página maliciosa, se informa al usuario que se le ha otorgado acceso general a un archivo específico. Para encontrarlo, habría que copiar y pegar la ruta en el Explorador de archivos. «La página de phishing puede contener un botón ‘Abrir Explorador de archivos’ que, al hacer clic, iniciará el Explorador de archivos (mediante la función de carga de archivos) y copiará el comando de PowerShell al portapapeles», explicó mr.d0x. Esto significa que, tras introducir la ruta del archivo y pulsar Intro, se ejecutará el comando malicioso de PowerShell.

Ya a principios de mayo de 2025, el Informe DFIR y Proofpoint informaron que la RAT Interlock se distribuía a través de KongTuke (o LandUpdate808), un sofisticado sistema de entrega de tráfico (TDS) que distribuye malware mediante un proceso de varias etapas que incluye ClickFix y CAPTCHAs falsos. Como ya se sabe, los hackers cambiaron a FileFix a principios de junio y comenzaron a distribuir la variante PHP de la RAT Interlock. Los especialistas del informe de DFIR señalan que, en algunos casos, también se distribuye la variante Node.js del malware.

Una vez ejecutada, la RAT recopila información del sistema mediante comandos de PowerShell para recopilar y transmitir datos a sus operadores. El malware también verifica los privilegios del usuario conectado. La RAT se conecta al sistema y espera la ejecución de nuevos comandos. Al mismo tiempo, el informe de expertos señala que los atacantes claramente están operando el malware manualmente, revisando copias de seguridad, navegando por directorios locales y controlando controladores de dominio. Los investigadores señalan que, en algunos casos, los atacantes utilizaron RDP para moverse lateralmente en entornos comprometidos.

El malware utiliza trycloudflare[.]com como servidor de comando y control, abusando del servicio legítimo del túnel de Cloudflare para ocultar su actividad. El representante del DFIR cree que esta campaña es oportunista.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli