Campañas ClickFix expanden malware con nuevos cargadores y falsas actualizaciones

Los equipos de ciberseguridad están advirtiendo sobre un aumento en el uso de campañas de ingeniería social llamadas ClickFix, que ahora distribuyen tres cargadores de malware diferentes —BabaDeda Loader, Lorem Ipsum Loader y Potemkin— para evadir las defensas tradicionales y robar información crítica. Según informes independientes de distintas firmas de seguridad, estas campañas han evolucionado desde simples tácticas de phishing hacia mecanismos más sofisticados que combinan técnicas de ocultamiento, ejecución en memoria y suplantación de procesos legítimos. Los sectores más afectados incluyen educación y finanzas, donde el acceso no autorizado puede derivar en robos de datos sensibles, fraudes y compromisos de infraestructura crítica. Para las organizaciones, el riesgo no es solo la infección inicial, sino la persistencia prolongada de amenazas que pueden operar bajo el radar durante semanas o meses.

Cómo operan las campañas ClickFix y por qué son difíciles de detectar

Las campañas ClickFix comienzan con un engaño típico: el usuario recibe un mensaje —ya sea por correo electrónico, notificación falsa o anuncio malicioso— que simula ser una actualización de software, parche de seguridad o herramienta de optimización. Al hacer clic, se le pide ejecutar comandos de PowerShell proporcionados por el atacante, un vector de entrada que aprovecha la confianza que los administradores y usuarios suelen depositar en herramientas de sistema. Una vez que se ejecuta el comando, el cargador BabaDeda Loader se instala en el equipo y comienza su fase de reconocimiento. El malware verifica el idioma del sistema y evita ejecutarse en equipos con configuraciones regionales de Rusia o Bielorrusia, una táctica común en grupos que buscan evitar la atención de ciertas jurisdicciones. Además, realiza comprobaciones de productos de seguridad instalados y perfila el entorno antes de recuperar el payload principal.

Lo más preocupante de este esquema es su diseño modular y su capacidad para inyectar código malicioso en procesos legítimos como svchost.exe. Esto no solo dificulta la detección por parte de antivirus tradicionales, sino que también permite que el malware permanezca activo incluso después de reinicios del sistema. Según los investigadores, BabaDeda Loader ha sido utilizado para distribuir backdoors .NET y ladrones de información capaces de recolectar credenciales, capturas de pantalla y datos de navegación. La comunicación con los servidores de comando y control (C2) se realiza a través de canales cifrados, lo que añade otra capa de opacidad. Esta combinación de técnicas —ejecución en memoria, DLL side-loading y almacenamiento externo de payloads— refleja un nivel avanzado de sofisticación, diseñado para superar barreras de detección automatizada y análisis forense.

Los tres cargadores de malware y sus cadenas de ataque específicas

Además de BabaDeda Loader, las campañas ClickFix han incorporado dos nuevos cargadores: Lorem Ipsum Loader y Potemkin. Cada uno sigue un enfoque distinto pero complementario para maximizar la probabilidad de infección exitosa. Lorem Ipsum Loader, por ejemplo, utiliza archivos ZIP que contienen componentes legítimos junto con bibliotecas maliciosas que se cargan mediante DLL side-loading. Este método permite que el malware se active cuando la víctima abre un archivo aparentemente inocuo, como un documento o una imagen. Una vez en ejecución, Lorem Ipsum Loader puede desplegar familias como DanaBot y SectopRAT, conocidas por su capacidad para robar credenciales bancarias y registrar teclas presionadas.

Por su parte, Potemkin destaca por su enfoque en la ocultación avanzada. En lugar de almacenar el payload directamente dentro del ejecutable, este cargador lee el código malicioso desde archivos externos como List.Control.dat, que simulan ser archivos de configuración o datos legítimos. Este diseño de "almacenamiento criptográfico" reduce la visibilidad en análisis estáticos y complica la tarea de los equipos de respuesta a incidentes. Los investigadores señalan que Potemkin está siendo utilizado en campañas dirigidas a sectores con alta rotación de personal o procesos de actualización frecuentes, donde los usuarios están más acostumbrados a recibir notificaciones de software. La combinación de estos tres cargadores —cada uno con su propio conjunto de técnicas de evasión— muestra una evolución clara hacia ataques más personalizados y difíciles de rastrear.

Sectores en la mira: educación y finanzas, pero el riesgo es transversal

Los informes de seguridad coinciden en que los sectores de educación y finanzas son los principales blancos de estas campañas, aunque los atacantes no descartan otros objetivos. En el caso de la educación, las instituciones suelen manejar grandes volúmenes de datos personales de estudiantes, profesores y personal administrativo, lo que las convierte en objetivos atractivos para el robo de identidad y el fraude. Las universidades, con sus redes compartidas y políticas de acceso flexible, pueden ofrecer puntos de entrada ideales para que el malware se propague lateralmente una vez dentro. En el sector financiero, el riesgo es aún mayor: un solo equipo comprometido podría servir como plataforma para acceder a sistemas de procesamiento de transacciones, bases de datos de clientes o plataformas de banca en línea.

Sin embargo, la naturaleza modular de estos cargadores significa que cualquier organización podría ser un objetivo potencial, especialmente aquellas con infraestructuras heterogéneas o equipos que ejecutan software legado. Los atacantes han demostrado capacidad para adaptar sus tácticas según el entorno, utilizando perfiles de host para decidir qué payload desplegar. Por ejemplo, si detectan que el sistema tiene instalado un software de contabilidad específico, podrían optar por un troyano que robe datos financieros. Esta flexibilidad convierte a estas campañas en una amenaza persistente avanzada (APT) de bajo costo pero alto impacto, accesible incluso para grupos con recursos limitados pero alta motivación.

Técnicas de evasión: lo que hace únicos a BabaDeda, Lorem Ipsum y Potemkin

La efectividad de estos cargadores radica en su capacidad para explotar las debilidades inherentes a los entornos empresariales modernos. BabaDeda Loader, por ejemplo, utiliza múltiples capas de ofuscación: el código malicioso se almacena en archivos externos y solo se decodifica en memoria durante la ejecución, lo que reduce la exposición a escáneres antivirus basados en firmas. Además, emplea técnicas como la inyección de shellcode en procesos legítimos y la suplantación de rutas de archivos de Windows para evitar alertas. Los investigadores destacan que este cargador ha evolucionado desde su primera aparición en 2021, cuando se asociaba principalmente con campañas contra el ecosistema de criptomonedas y Web3, hacia un marco más genérico capaz de distribuir una amplia gama de malware.

Lorem Ipsum Loader, por su parte, se beneficia de la confianza que los usuarios depositan en archivos comprimidos. Al combinar archivos aparentemente inocuos con bibliotecas maliciosas, el malware logra evadir filtros de correo electrónico y sistemas de detección basados en reputación de archivos. SectopRAT, uno de los payloads que distribuye, es especialmente peligroso porque puede operar como un servicio persistente, reinstalándose incluso después de intentos de eliminación manual. Potemkin, en cambio, adopta un enfoque más sutil: en lugar de depender de la ejecución directa de código, lee el payload desde archivos de datos externos, lo que lo hace casi indetectable para herramientas que analizan archivos ejecutables. Esta técnica, conocida como "almacenamiento criptográfico", es cada vez más común en campañas dirigidas a empresas con procesos de actualización automatizados.

El papel de los servidores de comando y control en la persistencia del malware

Una vez que el cargador logra instalarse y ejecutar su payload, establece una conexión con un servidor de comando y control (C2). Este servidor actúa como el cerebro de la operación, permitiendo a los atacantes enviar comandos, actualizar el malware o exfiltrar datos robados. En el caso de BabaDeda Loader, la comunicación se realiza a través de canales cifrados, lo que dificulta que los firewalls o sistemas de prevención de intrusiones (IPS) identifiquen el tráfico malicioso. Además, los atacantes suelen rotar las direcciones IP de los servidores C2 para evitar bloqueos basados en listas negras, lo que añade otra capa de complejidad para los equipos de seguridad.

Los payloads desplegados —como el backdoor .NET o los ladrones de información— están diseñados para operar de manera encubierta. Por ejemplo, el backdoor puede tomar capturas de pantalla periódicas, registrar las pulsaciones del teclado o extraer credenciales almacenadas en el navegador. SectopRAT, por su parte, puede funcionar como un keylogger avanzado o un downloader que descarga herramientas adicionales según las necesidades del atacante. La persistencia se logra mediante la creación de tareas programadas, servicios de Windows o modificaciones en el registro, lo que garantiza que el malware sobreviva a reinicios y actualizaciones del sistema. Esta combinación de técnicas convierte a estas campañas en una amenaza de larga duración, capaz de operar durante meses antes de ser detectada.

Recomendaciones prácticas para empresas y usuarios finales

Ante la creciente sofisticación de estas campañas, las organizaciones deben adoptar un enfoque proactivo para reducir el riesgo de infección. En primer lugar, es crucial implementar políticas de ejecución de scripts que restrinjan la capacidad de los usuarios para ejecutar comandos de PowerShell sin supervisión. Herramientas como AppLocker o Windows Defender Application Control (WDAC) pueden ayudar a bloquear la ejecución de scripts no autorizados, mientras que la configuración de políticas de ejecución de PowerShell en modo "Restricted" o "AllSigned" limita las posibilidades de abuso. Además, las empresas deben deshabilitar macros en documentos de Office por defecto y educar a los empleados sobre los riesgos de abrir archivos adjuntos o enlaces de remitentes desconocidos.

En el ámbito técnico, la segmentación de redes y el principio de mínimo privilegio son fundamentales. Las organizaciones deben asegurarse de que los equipos con acceso a información sensible no tengan permisos administrativos innecesarios, lo que reduce el impacto de un posible compromiso. El uso de soluciones de detección y respuesta en endpoints (EDR) con capacidades de análisis de comportamiento puede identificar actividades sospechosas, como la ejecución de procesos inusuales o la conexión a servidores C2 conocidos. También es recomendable implementar herramientas de monitoreo de integridad de archivos (FIM) para detectar cambios no autorizados en archivos críticos del sistema.

Para los usuarios finales, la precaución sigue siendo la mejor defensa. Evitar hacer clic en enlaces o descargar archivos de fuentes no verificadas, incluso si parecen provenir de remitentes conocidos, es esencial. Las actualizaciones de software deben realizarse directamente desde los sitios oficiales de los fabricantes, nunca a través de notificaciones emergentes o correos electrónicos. Además, mantener copias de seguridad actualizadas y probadas de los datos críticos puede mitigar el impacto de un posible ataque de ransomware o robo de información. Las empresas también deben considerar realizar simulacros de phishing periódicos para evaluar la preparación de sus empleados y reforzar la conciencia sobre ciberseguridad.

El futuro de las campañas de malware basadas en ingeniería social

El auge de campañas como ClickFix refleja una tendencia más amplia en el panorama de amenazas: la creciente sofisticación de los atacantes para explotar la confianza de los usuarios y las debilidades en los procesos de actualización. A medida que las organizaciones migran hacia entornos híbridos y adoptan herramientas de colaboración en la nube, los vectores de ataque se multiplican, y los métodos de evasión se vuelven más creativos. Los cargadores como BabaDeda, Lorem Ipsum y Potemkin son solo la punta del iceberg; es probable que veamos versiones aún más avanzadas que incorporen inteligencia artificial para personalizar los engaños o adaptarse dinámicamente a los entornos de las víctimas.

Otro factor preocupante es la comercialización de estas herramientas. Servicios como BabaDeda Loader, que comenzaron como soluciones de "crypting" para evadir antivirus, ahora se venden en foros clandestinos como kits de ataque listos para usar. Esto reduce la barrera de entrada para grupos con pocos recursos pero alta motivación, lo que podría llevar a un aumento en el volumen y la diversidad de ataques. Las empresas deben estar preparadas para un entorno en el que las amenazas no solo son más técnicas, sino también más accesibles para una gama más amplia de actores maliciosos.

Qué vigilar en los próximos meses

En los próximos trimestres, los equipos de ciberseguridad deberían prestar especial atención a la evolución de las técnicas de almacenamiento criptográfico y la ejecución en memoria, ya que estos métodos están demostrando ser altamente efectivos para evadir las defensas tradicionales. También es probable que los atacantes intensifiquen el uso de payloads modulares que puedan adaptarse a diferentes entornos, lo que complicará aún más la tarea de los analistas forenses. Las campañas que combinan múltiples cargadores, como las observadas en ClickFix, podrían convertirse en un estándar para grupos que buscan maximizar el impacto de sus ataques.

Otro aspecto crítico será el monitoreo de los servidores de comando y control. A medida que los equipos de seguridad mejoran sus capacidades para bloquear direcciones IP conocidas, los atacantes recurrirán a técnicas como el "domain shadowing" o el uso de servicios legítimos comprometidos para alojar sus infraestructuras. Las empresas deben invertir en soluciones de inteligencia de amenazas que proporcionen información actualizada sobre dominios y direcciones IP asociadas a campañas activas. Además, la colaboración entre organizaciones, a través de plataformas de intercambio de información sobre amenazas, será clave para identificar patrones emergentes y responder de manera coordinada.

En resumen, las campañas ClickFix y sus cargadores asociados representan una evolución significativa en la forma en que el malware se propaga y persiste en los entornos empresariales. Para las organizaciones, el mensaje es claro: la detección basada en firmas ya no es suficiente. Se requiere una combinación de prevención, monitoreo continuo y respuesta rápida para hacer frente a estas amenazas. La educación de los usuarios, la segmentación de redes y la adopción de tecnologías avanzadas de detección serán fundamentales para reducir el riesgo. Mientras los atacantes sigan innovando, las empresas deben estar un paso adelante, anticipando no solo lo que podría ocurrir, sino también cómo podrían adaptarse los métodos de ataque en el futuro cercano.