LA TÉCNICA CLICKFIX DISTRIBUYE MALWARE

¿Qué es ClickFix?

Es una técnica de ingeniería social que emplea ventanas emergentes falsas simulando errores técnicos (como problemas con el navegador, documentos o CAPTCHA), para engañar al usuario y hacer que ejecute scripts maliciosos. Su nombre proviene de botones como “Fix it” que, en lugar de solucionar algo, descargan malware.

Estas instrucciones suelen ser:

1. Hacer clic en el botón para copiar el código que “resuelve” el problema
2. Presionar las teclas [Win] + [R]
3. Presionar las teclas [Ctrl] + [V]
4. Presionar [Enter]

Lo que sucede detrás de toda esta secuencia es, en realidad:

1. La primera indicación hace una copia de un script invisible para el usuario
2. La segunda abre la ventana Ejecutar
3. La tercera pega el script de PowerShell en la ventana Ejecutar
4. Con el cuarto paso, el código se inicia con privilegios del usuario actual, y el malware se descarga e instala en el equipo.

¿Cómo funcionan los ataques de ClickFix?
Los ataques ClickFix inician cuando los atacantes obtienen acceso administrativo a sitios web con credenciales robadas. Luego, instalan plugins falsos que inyectan JavaScript malicioso. Este código muestra notificaciones falsas de actualización del navegador para inducir a las víctimas a instalar malware como Vidar Stealer, DarkGate o Lumma Stealer.

El malware no requiere descargas visibles ni ejecución manual, ya que se carga directamente en la memoria, evadiendo los sistemas de seguridad del navegador. Las notificaciones suelen solicitar acciones como “Fix It” o “Demuestra que eres humano”, engañando a los usuarios para que ejecuten código malicioso.

Este método ha sido usado en campañas de phishing y suplantación de sitios de organizaciones como Google Chrome o Facebook. Además, los atacantes también apuntan a usuarios que buscan juegos, navegadores Web3, o lectores de PDF.

Campañas recientes de ClickFix

• Mayo 2025: Videos falsos en TikTok inducían a descargar infostealers como Vidar o StealC, usando excusas como activar funciones premium.
• Marzo 2025: La campaña ClearFake usó falsos CAPTCHAs y verificaciones de Cloudflare para distribuir malware.
• Octubre 2024: Páginas falsas de Google Meet distribuyeron malware en Windows y macOS mediante errores falsos del navegador.
• Otros casos: Falsos controles de bots de Cloudflare también se usaron para ejecutar comandos maliciosos.

ClickFix en América Latina

• Esta técnica también afecta a sitios de América Latina:
• Chile: En abril de 2025, se detectó un ataque usando el sitio de la Escuela de Ingeniería Industrial de la Universidad Católica.
• Perú: El sitio del Fondo de Vivienda Policial fue comprometido y mostró notificaciones falsas en el navegador Ópera.
• Otros países: Se han reportado casos similares en Argentina, Brasil, Colombia y México.

¿Cómo protegerse ante este tipo de ataques?
Para no ser víctima de los ataques que involucran ClickFix, hay medidas concretas que puedes aplicar. Por ejemplo:

• Informarse: la educación sobre esta y otras tácticas de ingeniería social y phishing es clave para reconocerlas y no caer en la trampa.
• Contar con una solución antimalware: es el primer paso para estar protegido, siempre manteniéndote al día con las actualizaciones.
• Activar el doble factor de autenticación: es clave por si las credenciales de acceso de sus cuentas caen en las manos equivocadas.
• Estar al día con las actualizaciones de sistemas operativos, softwares y aplicaciones.

Fuente: https://www.welivesecurity.com/es/cibercrimen/que-es-clickfix-falsa-noti...