ClickFix: la amenaza que infecta Windows y Mac por igual

ClickFix es una técnica cada vez más popular que se distribuye tradicionalmente mediante phishing, malvertising o descargas no autorizadas, redirigiendo a menudo a las víctimas a páginas de destino falsas que contienen una verificación CAPTCHA falsa o instrucciones para solucionar un problema inexistente en sus equipos mediante la ejecución de un comando a través del cuadro de diálogo Ejecutar de Windows o la aplicación Terminal de macOS.

Este método de ataque se ha generalizado en los últimos dos años, ya que se basa en que las víctimas infecten sus propios equipos con malware, lo que permite a los actores de amenazas eludir los controles de seguridad. La eficacia de ClickFix ha sido tal que ha generado diversas variantes, como FileFix, JackFix, ConsentFix, CrashFix y GlitchFix.

En concreto, este nuevo ataque se basa en el comando “nslookup” para ejecutar una búsqueda DNS personalizada que se activa mediante el cuadro de diálogo Ejecutar de Windows. “En la última versión de prueba basada en DNS que utiliza ClickFix, el comando inicial se ejecuta a través de cmd.exe y realiza una búsqueda de DNS en un servidor DNS externo predefinido, en lugar del solucionador predeterminado del sistema”, explicó el equipo de Inteligencia de Amenazas de Microsoft en una serie de publicaciones sobre X. “La salida se filtra para extraer la respuesta DNS Name:, que se ejecuta como la carga útil de la segunda etapa”. Microsoft afirmó que esta nueva variante de ClickFix “utiliza el DNS como un canal ligero de prueba o señalización”, lo que permite al atacante acceder a la infraestructura bajo su control, así como erigir una nueva capa de validación antes de ejecutar la carga útil de la segunda etapa. “Usar el DNS de esta manera reduce la dependencia de las solicitudes web tradicionales y puede ayudar a integrar la actividad maliciosa en el tráfico de red normal”, añadió el fabricante de Windows.

La carga útil descargada inicia posteriormente una cadena de ataques que lleva a la descarga de un archivo ZIP desde un servidor externo (“azwsappdev[.]com”), desde donde se extrae y ejecuta un script malicioso de Python para realizar tareas de reconocimiento, ejecutar comandos de descubrimiento y descargar un script de Visual Basic (VBScript) responsable de ejecutar ModeloRAT, un troyano de acceso remoto basado en Python, previamente distribuido a través de CrashFix.

Para establecer la persistencia, se crea un archivo de acceso directo de Windows (LNK) que apunta al VBScript en la carpeta de inicio de Windows, de modo que el malware se ejecute automáticamente cada vez que se inicia el sistema operativo.

Esta revelación se produce después de que Bitdefender advirtiera sobre un aumento en la actividad de Lumma Stealer, impulsada por campañas de CAPTCHA falsos al estilo de ClickFix que implementan una versión AutoIt de CastleLoader, un cargador de malware asociado con un actor de amenazas con nombre en código GrayBravo (anteriormente TAG-150).

CastleLoader incorpora comprobaciones para determinar la presencia de software de virtualización y programas de seguridad específicos antes de descifrar y ejecutar el malware ladrón en la memoria. Además de ClickFix, los sitios web que anuncian software pirateado y películas pirateadas sirven como cebo para las cadenas de ataque basadas en CastleLoader, engañando a los usuarios para que descarguen instaladores o ejecutables fraudulentos que se hacen pasar por archivos multimedia MP4.

Otras campañas de CastleLoader también han aprovechado sitios web que prometen descargas de software pirateado como punto de partida para distribuir un instalador falso de NSIS que, además, ejecuta scripts de VBA ofuscados antes de ejecutar el script de AutoIt que carga Lumma Stealer. El cargador de VBA está diseñado para ejecutar tareas programadas responsables de garantizar la persistencia.

“A pesar de los importantes esfuerzos de las fuerzas del orden en 2025, las operaciones de Lumma Stealer continuaron, demostrando resiliencia al migrar rápidamente a nuevos proveedores de alojamiento y adaptar cargadores y técnicas de entrega alternativos”, declaró la empresa rumana de ciberseguridad. “En el núcleo de muchas de estas campañas se encuentra CastleLoader, que desempeña un papel fundamental para facilitar la propagación de LummaStealer a través de las cadenas de distribución”.

Curiosamente, uno de los dominios de la infraestructura de CastleLoader (“testdomain123123[.]shop”) fue marcado como un comando y control (C2) de Lumma Stealer, lo que indica que los operadores de las dos familias de malware están trabajando juntos o compartiendo proveedores de servicios. La mayoría de las infecciones de Lumma Stealer se han registrado en India, seguida de Francia, EE.UU., España, Alemania, Brasil, México, Rumanía, Italia y Canadá.

“La eficacia de ClickFix reside en su abuso de confianza, más que en vulnerabilidades técnicas”, afirmó Bitdefender. Las instrucciones se asemejan a pasos de solución de problemas o soluciones alternativas de verificación que los usuarios podrían haber encontrado anteriormente. Como resultado, las víctimas a menudo no se dan cuenta de que están ejecutando manualmente código arbitrario en su propio sistema.

CastleLoader no es el único cargador que se utiliza para distribuir Lumma Stealer. Campañas observadas desde marzo de 2025 han aprovechado otro cargador, RenEngine Loader, y el malware se propaga bajo la apariencia de trampas para juegos y software pirateado, como el editor gráfico CorelDRAW. En estos ataques, el cargador da paso a un cargador secundario llamado Hijack Loader, que a su vez implementa Lumma Stealer.

Según datos de Kaspersky, los ataques de RenEngine Loader han afectado principalmente a usuarios en Rusia, Brasil, Turquía, España, Alemania, México, Argelia, Egipto, Italia y Francia desde marzo de 2025.

Estos acontecimientos coinciden con la aparición de diversas campañas que utilizan señuelos de ingeniería social, como ClickFix, para distribuir diversos ladrones y cargadores de malware.

• Una campaña de macOS ha utilizado tácticas de phishing y publicidad maliciosa para distribuir Odyssey Stealer, una nueva marca de Poseidon Stealer, que a su vez es una bifurcación de Atomic macOS Stealer (AMOS). El ladrón extrae credenciales y datos de 203 extensiones de monedero de navegador y 18 aplicaciones de monedero de escritorio para facilitar el robo de criptomonedas.
• “Más allá del robo de credenciales, Odyssey funciona como un troyano de acceso remoto completo”, declaró Censys. “Un LaunchDaemon persistente sondea el C2 cada 60 segundos en busca de comandos, lo que permite la ejecución arbitraria de shell, la reinfección y un proxy SOCKS5 para tunelizar el tráfico a través de los equipos de las víctimas”.
• Una cadena de ataques de ClickFix dirigida a sistemas Windows utiliza páginas falsas de verificación CAPTCHA en sitios web legítimos pero comprometidos para engañar a los usuarios y que ejecuten comandos de PowerShell que implementan el ladrón de datos StealC.
• Una campaña de phishing por correo electrónico utiliza un archivo SVG malicioso dentro de un archivo ZIP protegido con contraseña para indicar a la víctima que ejecute un comando de PowerShell con ClickFix, lo que finalmente resulta en la implementación de un ladrón de información .NET de código abierto llamado Stealerium.
• Una campaña que explota la función de compartición pública de servicios de inteligencia artificial (IA) generativa como Anthropic Claude para simular instrucciones maliciosas de ClickFix sobre cómo realizar diversas tareas en macOS (por ejemplo, “solucionador de DNS en línea”) y distribuir estos enlaces a través de resultados patrocinados en motores de búsqueda como Google para implementar Atomic Stealer y MacSync Stealer.
• Una campaña que dirige a los usuarios que buscan “analizador de espacio en disco de la CLI de macOS” a un artículo falso de Medium que se hace pasar por el equipo de soporte de Apple para engañarlos y obligarlos a ejecutar las instrucciones de ClickFix, que envían cargas útiles de robo de la siguiente etapa desde un servidor externo llamado “raxelpak[.]com”. “Este dominio C2 tiene un historial de URL que se remonta a 2021, cuando aparentemente albergaba un sitio web de comercio electrónico de ropa de trabajo de seguridad”, declaró Moonlock Lab de MacPaw. “No está claro si el dominio fue secuestrado o simplemente expiró y fue reinscrito por el [actor de amenazas], pero se ajusta al patrón general de aprovechar dominios antiguos con reputación existente para evitar la detección”.
• Una variante de la misma campaña que simula instrucciones de ClickFix para supuestamente instalar Homebrew en enlaces asociados con Claude y Evernote y las distribuye a través de resultados patrocinados para instalar malware de robo. “El anuncio muestra un dominio real y reconocido (claude.ai), no un sitio falso ni un sitio web manipulado”, declaró AdGuard. “Al hacer clic en el anuncio, se accede a una página real de Claude, no a una copia de phishing. La consecuencia es clara: Google Ads + una plataforma de confianza reconocida + usuarios técnicos con un alto impacto posterior = un potente vector de distribución de malware”.
• Una campaña de phishing por correo electrónico en macOS que solicita a los destinatarios descargar y ejecutar un archivo AppleScript para solucionar supuestos problemas de compatibilidad, lo que resulta en la implementación de otro AppleScript diseñado para robar credenciales y recuperar cargas útiles de JavaScript adicionales. “El malware no se otorga permisos a sí mismo; en su lugar, falsifica autorizaciones TCC para binarios confiables firmados por Apple (Terminal, osascript, Editor de Scripts y bash) y luego ejecuta acciones maliciosas a través de estos binarios para heredar sus permisos”, declaró Darktrace.
• Una campaña ClearFake que emplea falsos señuelos CAPTCHA en sitios web de WordPress comprometidos para activar la ejecución de un archivo de aplicación HTML (HTA) e implementar Lumma Stealer. También se sabe que la campaña utiliza inyecciones maliciosas de JavaScript para aprovechar una técnica conocida como EtherHiding con el fin de ejecutar un contrato alojado en la cadena inteligente BNB y obtener una carga útil desconocida alojada en GitHub.
• EtherHiding ofrece varias ventajas a los atacantes. Permite que el tráfico malicioso se mezcle con la actividad legítima de la Web3. Dado que la cadena de bloques es inmutable y descentralizada, también ofrece mayor resiliencia ante los intentos de desmantelamiento.

El uso de técnicas de ClickFix para atacar macOS subraya una tendencia más amplia: los cibercriminales buscan cada vez más máquinas que ejecutan el sistema operativo de Apple para infectarlas con ladrones de información y herramientas sofisticadas, según un análisis reciente publicado por Flare. Los ladrones de macOS tienen en la mira nada menos que 103 extensiones de criptomonedas de Chrome, y los atacantes obtienen firmas válidas de desarrolladores de Apple para eludir las protecciones de Gatekeeper.

“Casi todos los ladrones de macOS priorizan el robo de criptomonedas por encima de todo”, declaró la compañía. “Este enfoque preciso refleja la realidad económica. Los usuarios de criptomonedas usan Mac de forma desproporcionada. Suelen tener un valor significativo en monederos electrónicos. A diferencia de las cuentas bancarias, las transacciones con criptomonedas son irreversibles. Una vez que las frases semilla se ven comprometidas, los fondos desaparecen permanentemente sin posibilidad de recurso”.

La idea de que los Mac no se infectan con virus no solo es obsoleta, sino también muy peligrosa. Las organizaciones con usuarios de Mac necesitan capacidades de detección para los TTP específicos de macOS: aplicaciones sin firmar que solicitan contraseñas, actividad inusual en la Terminal, conexiones a nodos de blockchain con fines no financieros y patrones de exfiltración de datos dirigidos a Keychain y al almacenamiento del navegador.