Los ciberdelincuentes han actualizado el infame malware ClickFix para que se haga pasar por una actualizaci\u00f3n leg\u00edtima de Windows, enga\u00f1ando a los usuarios para que peguen c\u00f3digo malicioso en la ventana Ejecutar. Lo que hace que este ataque sea particularmente astuto es que utiliza datos de p\u00edxeles de un archivo PNG para activar c\u00f3digo malicioso que roba nombres de usuario, contrase\u00f1as, monederos de criptomonedas, datos bancarios y otra informaci\u00f3n confidencial.
Investigadores de Huntress descubrieron recientemente una nueva variante de ClickFix. Esta muestra una ventana falsa del navegador a pantalla completa que simula una actualizaci\u00f3n de Windows, con una barra de progreso bloqueada al 95 % para una supuesta "actualizaci\u00f3n de seguridad cr\u00edtica". El malware se encuentra con mayor frecuencia en sitios web falsos para adultos que imitan portales populares, a menudo en forma de anuncios o solicitudes de verificaci\u00f3n de edad. Al hacer clic en uno de estos elementos, se activa la ventana de actualizaci\u00f3n falsa.
Se solicita a los usuarios que presionen Windows + R y peguen el c\u00f3digo malicioso, otorgando as\u00ed, sin saberlo, a los ciberatacantes acceso con privilegios administrativos. El comando inicia el programa mshta (Microsoft HTML Application Host) con una URL maliciosa, que descarga c\u00f3digo adicional de la fuente hexadecimal. Se ejecutan scripts de PowerShell, lo que confunde a programas de seguridad como Bitdefender y descifra el archivo PNG, del cual se extraen comandos de shell que se inyectan en los procesos en ejecuci\u00f3n.
Aunque PNG parece inofensivo, sus p\u00edxeles contienen c\u00f3digo malicioso cifrado. Una vez descifrado, se activan programas maliciosos como Rhadamanthys o LummaC2, que recopilan contrase\u00f1as, credenciales y datos de monederos de criptomonedas y los env\u00edan a servidores externos.
Huntress informa que esta variante se ha estado propagando desde principios de octubre, y muchos dominios a\u00fan albergan la ventana de actualizaci\u00f3n falsa. Los hackers oscurecen a\u00fan m\u00e1s el c\u00f3digo con l\u00edneas aleatorias o incluso citas extra\u00f1as, incluyendo citas de una reuni\u00f3n de la ONU sobre desarme.
ClickFix es uno de los tipos de malware m\u00e1s sofisticados que existen para robar datos. Los expertos aconsejan a los usuarios verificar las URL de los dominios, evitar anuncios sospechosos y nunca introducir comandos desconocidos en sus dispositivos.<\/p>\n