ClickFix permite que el malware se ejecute en memoria en lugar de escribirse en el disco
El malware conocido como Latrodectus se ha convertido en el último en adoptar la técnica de ingeniería social ampliamente utilizada llamada ClickFix como vector de distribución.
"La técnica ClickFix es particularmente peligrosa porque permite que el malware se ejecute en memoria en lugar de escribirse en el disco", afirmó Expel en un informe. "Esto elimina muchas oportunidades para que los navegadores o las herramientas de seguridad detecten o bloqueen el malware".
Latrodectus, considerado sucesor de IcedID, es el nombre que recibe un malware que funciona como descargador de otras cargas útiles, como ransomware. Fue documentado por primera vez por Proofpoint y Team Cymru en abril de 2024.
Por cierto, el malware es uno de los muchos programas maliciosos que sufrieron un revés operativo como parte de la Operación Endgame, que desconectó 300 servidores en todo el mundo y neutralizó 650 dominios relacionados con Bumblebee, Lactrodectus, QakBot, HijackLoader, DanaBot, TrickBot y WARMCOOKIE entre el 19 y el 22 de mayo de 2025.
En el último conjunto de ataques Latrodectus observados por Expel en mayo de 2025, usuarios desprevenidos son engañados para que copien y ejecuten un comando de PowerShell desde un sitio web infectado, una táctica que se ha convertido en un método predominante para distribuir una amplia gama de malware.
"Al ser ejecutados por un usuario, estos comandos intentarán instalar un archivo ubicado en la URL remota mediante MSIExec y luego lo ejecutarán en memoria", explicó Expel. "Esto evita que el atacante tenga que escribir el archivo en el equipo y se arriesgue a ser detectado por el navegador o un antivirus que pueda detectarlo en el disco".
El instalador MSI contiene una aplicación legítima de NVIDIA, que se utiliza para cargar de forma lateral una DLL maliciosa, que luego utiliza curl para descargar la carga principal.
Para mitigar este tipo de ataques, se recomienda deshabilitar el programa Ejecutar de Windows mediante Objetos de Política de Grupo (GPO) o desactivar la combinación de teclas "Windows + R" mediante un cambio en el Registro de Windows.
De ClickFix a TikTok
La revelación se produce cuando Trend Micro reveló detalles de una nueva campaña de ingeniería social que, en lugar de depender de páginas CAPTCHA falsas, emplea vídeos de TikTok probablemente generados con herramientas de inteligencia artificial (IA) para entregar los ladrones de información Vidar y StealC al instruir a los usuarios a ejecutar comandos maliciosos en sus sistemas para activar Windows, Microsoft Office, CapCut y Spotify.
Estos videos se han publicado desde varias cuentas de TikTok como @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc y @digitaldreams771. Estas cuentas ya no están activas. Uno de los vídeos que afirma ofrecer instrucciones sobre cómo "mejorar tu experiencia en Spotify al instante" ha acumulado casi 500.000 visualizaciones, más de 20.000 "Me gusta" y más de 100 comentarios.
La campaña marca una nueva escalada de ClickFix en la que los usuarios que buscan formas de activar aplicaciones pirateadas son guiados verbal y visualmente para abrir el cuadro de diálogo Ejecutar de Windows presionando la tecla de acceso rápido "Windows + R", iniciar PowerShell y ejecutar el comando resaltado en el video, comprometiendo en última instancia sus propios sistemas.
"Los actores de amenazas ahora están usando vídeos de TikTok, posiblemente generados con herramientas de IA, para inducir a los usuarios a ejecutar comandos de PowerShell con el pretexto de activar software legítimo o desbloquear funciones premium", afirmó el investigador de seguridad Junestherry Dela Cruz.
"Esta campaña destaca cómo los atacantes están listos para usar cualquier popular plataforma de redes sociales en el momento para distribuir malware".
