Así te engañan con una falsa actualización de Windows para colarte malware

Los cibercriminales han comenzado una nueva campaña de ataque, conocida como ClickFix, una técnica de ingeniería social que consiste en convencer al usuario de que ejecute comandos peligrosos en Windows.

La última evolución, informada por Huntress, incluye una pantalla falsa de actualización de Windows a pantalla completa, diseñada para parecer completamente legítima y así facilitar la ejecución del malware.

ClickFix se basa en hacer que las víctimas copien y peguen en la consola de Windows comandos que terminan instalando software malicioso.

Investigadores de seguridad han observado desde el 1 de octubre un aumento de campañas que usan el pretexto de completar una actualización crítica de seguridad de Windows para inducir a los usuarios a pegar dichos códigos.

En algunas variantes descubiertas, la página fraudulenta instruye al usuario a pulsar una secuencia de teclas. Este proceso ejecuta instrucciones JavaScript que han sido copiadas automáticamente al portapapeles, provocando que el usuario termine ejecutando el código malicioso.

Los atacantes están empleando dos señuelos principales: una página de verificación humana o la pantalla falsa de actualización de Windows.

En algunos casos, el malware se oculta dentro de imágenes PNG mediante técnicas de esteganografía. Los investigadores explican que el código malicioso no se añade simplemente al archivo, sino que se incrusta directamente en los datos de los píxeles, utilizando canales de color específicos, lo que permite reconstruir y descifrar la carga útil en memoria.

Aunque gran parte de esta campaña ha sido desmantelada gracias a una operación policial, los expertos advierten que las páginas falsas de actualización de Windows siguen activas, aunque parece que ya no están entregando el malware.

En cualquier caso, los expertos recomiendan a los usuarios desactivar el cuadro “Ejecutar” de Windows y vigilar procesos sospechosos para evitar ser víctimas de este tipo de ataques.