Hogar » Una actualización falsa de Windows roba contraseñas y billeteras de criptomonedas

Sistemas operativos

30.11.2025 16:02

Compartir con otros:

Una actualización falsa de Windows roba contraseñas y billeteras de criptomonedas

Una nueva versión del malware ClickFix se hace pasar por una actualización legítima de Windows. Mediante código oculto en archivos PNG, los atacantes roban contraseñas, monederos de criptomonedas y otros datos confidenciales. Los investigadores advierten sobre los peligros de los sitios web falsos y recomiendan mayor precaución.

Foto de : Lenovo

Los ciberdelincuentes han actualizado el infame malware ClickFix para que se haga pasar por una actualización legítima de Windows, engañando a los usuarios para que peguen código malicioso en la ventana Ejecutar. Lo que hace que este ataque sea particularmente astuto es que utiliza datos de píxeles de un archivo PNG para activar código malicioso que roba nombres de usuario, contraseñas, monederos de criptomonedas, datos bancarios y otra información confidencial.

Investigadores de Huntress descubrieron recientemente una nueva variante de ClickFix. Esta muestra una ventana falsa del navegador a pantalla completa que simula una actualización de Windows, con una barra de progreso bloqueada al 95 % para una supuesta "actualización de seguridad crítica". El malware se encuentra con mayor frecuencia en sitios web falsos para adultos que imitan portales populares, a menudo en forma de anuncios o solicitudes de verificación de edad. Al hacer clic en uno de estos elementos, se activa la ventana de actualización falsa.

Se solicita a los usuarios que presionen Windows + R y peguen el código malicioso, otorgando así, sin saberlo, a los ciberatacantes acceso con privilegios administrativos. El comando inicia el programa mshta (Microsoft HTML Application Host) con una URL maliciosa, que descarga código adicional de la fuente hexadecimal. Se ejecutan scripts de PowerShell, lo que confunde a programas de seguridad como Bitdefender y descifra el archivo PNG, del cual se extraen comandos de shell que se inyectan en los procesos en ejecución.

Aunque PNG parece inofensivo, sus píxeles contienen código malicioso cifrado. Una vez descifrado, se activan programas maliciosos como Rhadamanthys o LummaC2, que recopilan contraseñas, credenciales y datos de monederos de criptomonedas y los envían a servidores externos.

Huntress informa que esta variante se ha estado propagando desde principios de octubre, y muchos dominios aún albergan la ventana de actualización falsa. Los hackers oscurecen aún más el código con líneas aleatorias o incluso citas extrañas, incluyendo citas de una reunión de la ONU sobre desarme.

ClickFix es uno de los tipos de malware más sofisticados que existen para robar datos. Los expertos aconsejan a los usuarios verificar las URL de los dominios, evitar anuncios sospechosos y nunca introducir comandos desconocidos en sus dispositivos.