Páginas falsas de verificación de Google y Cloudflare propagan malware
Publicado el
Introducción
Recientes campañas de ClickFix han demostrado ser una amenaza creciente en el ámbito de la ciberseguridad. Estas tácticas engañosas utilizan páginas de verificación falsas de Google y Cloudflare para inducir a los usuarios a ejecutar comandos maliciosos en sus dispositivos, lo que puede resultar en la instalación de malware que roba contraseñas y datos sensibles, proporciona acceso remoto a los atacantes, o descarga más malware que podría tomar el control total del sistema.
Evolución de los ataques
Desde finales de 2025, se han identificado múltiples campañas que operan bajo esta infraestructura, utilizando diversas páginas de verificación fraudulentas. Aunque los métodos de engaño varían, comparten una serie de características comunes y una cadena de infección similar. Los atacantes están constantemente probando nuevos métodos de entrega y cargas útiles, lo que complica la detección de sus actividades.
Entre las familias de malware observadas se encuentran HijackLoader, StealC, Remus, Amatera Stealer, CastleLoader, NetSupport y un ladrón basado en Rust. Un ejemplo notable en esta cadena de infecciones incluye una versión troyanizada de la aplicación de mensajería legítima Franz, que descarga un cargador no documentado llamado ResiLoader, el cual desactiva el software de seguridad antes de desplegar el infostealer StealC.
Cómo protegerse
Para evitar convertirse en una víctima, es crucial seguir ciertas recomendaciones:
- No ejecute comandos de sitios web no verificados: Nunca copie y ejecute comandos de una página web a menos que provengan de una fuente confiable y comprenda su funcionalidad. - Desconfíe de las páginas de verificación: Servicios legítimos como Google o Cloudflare nunca le pedirán que pegue comandos de PowerShell en Windows para verificar su identidad. - No se deje llevar por la urgencia: Las páginas de verificación falsas suelen usar temporizadores de cuenta regresiva o advertencias para presionar a los usuarios a actuar rápidamente. - Mantenga su software de seguridad actualizado: La protección en tiempo real puede ayudar a bloquear sitios web maliciosos antes de que sean accedidos. - Cuestione las instrucciones técnicas inesperadas: Si un sitio le solicita abrir PowerShell, Command Prompt o Terminal, verifique la información a través de los canales oficiales de soporte de la empresa. - Utilice herramientas de seguridad: Herramientas como Malwarebytes Browser Guard pueden alertarle si un sitio intenta copiar contenido al portapapeles, un truco común en las páginas de ClickFix.
Análisis técnico
Los ataques ClickFix han evolucionado a lo largo del tiempo, con nuevas cargas útiles y métodos de entrega que se introducen regularmente. Los patrones comunes incluyen:
- Uso de la carpeta C:\ProgramData\Zooms para extraer etapas posteriores. - Comandos de PowerShell ClickFix que siguen patrones similares. - Uso de Cloudflare R2 buckets para la entrega de cargas útiles.
Aunque algunos indicadores han cambiado, se han mantenido métodos de engaño como páginas HTML que contienen solo la frase 'hehe' y la distribución a través de dominios de Cloudflare Pages. Las páginas de verificación falsas a menudo utilizan registros de dominios antiguos que han sido recientemente reactivados, lo que sugiere que han sido reutilizados para estas campañas.
Conclusión
La proliferación de estas tácticas maliciosas resalta la importancia de la concienciación en ciberseguridad. Los usuarios deben ser cautelosos y estar informados sobre los métodos de engaño utilizados por los atacantes para proteger sus dispositivos y datos personales.