Los investigadores de ciberseguridad han señalado múltiples campañas de ClickFix que ofrecen tres cargadores de malware llamados Cargador BabaDeda, Cargador Lorem Ipsumy Potemkinsegún informes independientes de Morfisec, AzulVoyanty Cazadorarespectivamente.
Los ataques que involucran a BabaDeda Loader, observados en abril de 2026, se han dirigido a organizaciones educativas y financieras.
«La actividad anterior de BabaDeda era conocida por ocultar cargas útiles maliciosas dentro de paquetes de instalación que parecían legítimos», dijo el investigador de Morphisec Shmuel Uzan. «Este nuevo marco mantiene el mismo genoma de código pero lo expande a un cargador mucho más capaz creado para el sigilo, la evasión y la flexibilidad de carga útil».
El punto de partida de los ataques es un ataque de ingeniería social ClickFix que engaña a los usuarios para que ejecuten comandos PowerShell proporcionados por el atacante para entregar el cargador, que luego se utiliza para eliminar ladrones de información y troyanos de acceso remoto (RAT) mediante la combinación de técnicas bien conocidas como PowerShell oculto, shellcode en memoria, carga lateral de DLL y almacenamiento de carga útil externo.
La actividad se ha atribuido a BabaDeda, un servicio de cifrado que Morphisec documentó por primera vez en noviembre de 2021 en relación con una campaña dirigida a los sectores de criptomonedas y Web3 para distribuir ladrones de información, RAT y ransomware LockBit.
El cargador está diseñado para perfilar el host, evitar su ejecución en sistemas rusos o bielorrusos y realizar comprobaciones relacionadas con el producto de seguridad antes de recuperar la carga útil principal e inyectarla en un proceso confiable de Windows como «svchost.exe».
Una de las familias de malware entregadas a través de BabaDeda Loader es una puerta trasera .NET y un ladrón de información que puede recopilar datos confidenciales y establecer un canal cifrado hacia un servidor de comando y control (C2). El malware admite una amplia gama de funciones, que incluyen:
- Recopilar información detallada del sistema
- Descubrir perfiles de navegador instalados
- Extracción de artefactos del navegador, como cookies, historial de navegación, credenciales guardadas, preferencias y claves de cifrado de estado local.
- Recorrer directorios y seleccionar archivos según reglas configurables
- Lectura y extracción de contenidos de archivos.
- Realizar capturas de pantalla y mostrar información
- Ejecutar comandos de shell o procesos externos y recopilar resultados
- Transferir datos nuevamente al servidor C2
- Uso de API nativas de Windows para interacción de procesos, operaciones de memoria, acceso DPAPI, comportamiento del Administrador de reinicio y acceso avanzado a archivos
Una segunda cadena de ataque arroja un archivo ZIP que emplea carga lateral de DLL para iniciar DanaBot y SectopRAT (también conocido como ArechClient). Lo notable de estos ataques es el uso de un componente de carga por etapas denominado Storage Crypter que lee el material de carga de archivos externos similares a archivos de almacenamiento como «List.Control.dat».
«El paquete de aplicación visible parece legítimo, mientras que las cargas maliciosas permanecen ocultas dentro de contenedores almacenados externamente y se decodifican sólo momentos antes de su ejecución», dijo Morphisec. «Este diseño minimiza la visibilidad forense, complica el análisis automatizado y reduce las oportunidades para que las herramientas de seguridad tradicionales identifiquen actividad maliciosa antes de que ocurra la ejecución».
Los hallazgos representan una evolución de los marcos de carga modernos, que se han vuelto cada vez más modulares y separan la entrega, el almacenamiento, la ejecución y la implementación de carga útil en distintos componentes en lugar de depender de una única entidad monolítica.
ClickFix Caídas de Cadena Cargador Lorem Ipsum
La técnica Click Fix también se ha observado en una campaña activa que utiliza al menos cinco sitios de WordPress comprometidos como punto de partida para ofrecer un cargador incipiente y una puerta trasera con el nombre en código Lorem Ipsum Loader. Los sitios web pirateados abarcan múltiples sectores, incluidos la arquitectura, los servicios legales y la tecnología de la construcción.
Los ataques marcan un alejamiento de campañas oportunistas anteriores que empleaba instaladores troyanizados de Microsoft Teams a través de portales de descarga falsos promovidos mediante envenenamiento de SEO y publicidad maliciosa. Se cree que el cargador está activo en estado salvaje desde febrero de 2026.
«El giro hacia los señuelos ClickFix alojados en sitios comprometidos de WordPress (WP) amplía significativamente el grupo de víctimas potenciales y demuestra la voluntad de los operadores de adaptar rápidamente sus técnicas de acceso inicial», dijeron los investigadores de BlueVoyant, Thomas Elkins y Joshua Green.
El cambio en el mecanismo de entrega se ha atribuido a la reciente interrupción por parte de Microsoft de Fox Tempest (también conocido como Forging Marauder), un actor de amenazas que anunciaba una operación de firma de malware como servicio (MSaaS) para ayudar a entregar malware sin generar ninguna señal de alerta utilizando certificados de Microsoft Trusted Signing firmados fraudulentamente.
«La pérdida del suministro de certificados hizo inviable el modelo de entrega del instalador previamente firmado, lo que obligó a los operadores a adoptar un mecanismo de entrega que elimina por completo la firma del código», agregaron los investigadores.
El grupo de actividades de amenazas es el ejemplo más reciente de cómo los actores malintencionados pueden recuperarse fácilmente y adaptarse a modelos de entrega alternativos a pesar de los continuos esfuerzos de los defensores y las fuerzas del orden para desmantelar sus operaciones.
El ecosistema de Lorem Ipsum se ha atribuido con gran confianza a un actor de amenazas motivado financieramente conocido como Vanilla Tempest (también conocido como Rapid Brigantine, Vice Society y Vice Spider), que es conocido para implementar familias de ransomware como Rhysida, BlackCat, Zeppelin y Quantum Locker.
Las secuencias de ataque que distribuyen Lorem Ipsum Loader utilizan señuelos de actualización de seguridad del navegador web Edge estilo ClickFix para ejecutar un comando malicioso que descarga un archivo ZIP y una versión desactualizada de Node.js lanzada en 2017 (versión 7.10.1) para ejecutar cargas útiles basadas en JavaScript presentes en el archivo y al mismo tiempo minimizar las posibilidades de detección.
La carga útil de JavaScript funciona como un cuentagotas para implementar y ejecutar componentes de malware adicionales en el sistema infectado, incluido un script por lotes que configura la persistencia al iniciar una cadena de carga lateral de DLL para ejecutar una DLL maliciosa («mscoree.dll» o «msvcp140.dll»), que, a su vez, decodifica la carga útil incorporada de Lorem Ipsum Loader.
«Lorem Ipsum Loader está diseñado para recuperar la puerta trasera Lorem Ipsum de la siguiente etapa de la infraestructura C2 obtenida de perfiles controlados por atacantes alojados en plataformas de redes sociales», dijo BlueVoyant, agregando que la puerta trasera contiene funcionalidad para ejecutar cargas útiles de la siguiente etapa recibidas del servidor C2.
«La cadena Lorem Ipsum culmina con la transferencia a las herramientas establecidas de post-explotación de Rapid Brigantine y, en última instancia, a sus implementaciones documentadas de ransomware, principalmente Rhysida».
Potemkin, RMMProject y EtherRAT entregados a través de ClickFix
La tercera campaña que se basa en ClickFix es una cadena de ataque sofisticada que instala un paquete MSI, que luego suelta un cargador previamente indocumentado con nombre en código Potemkin a través de una carga útil de aplicación HTML (HTA). El cargador sirve como conducto para EtherRAT y RMMProject, una DLL programable en Lua con módulos para permitir el control remoto de la pantalla y el robo de credenciales del navegador al sortear las protecciones de cifrado vinculado a aplicaciones (ABE) de Chromium.
RMMProject también implementa un mecanismo de distribución de tareas para ejecutar un archivo o proceso, tomar capturas de pantalla, desviar datos de autocompletar del navegador, ejecutar scripts Lua arbitrarios, finalizar procesos del navegador y descargar y ejecutar un módulo adicional desde una URL en tiempo de ejecución.
El cargador Potemkin es un «cargador x64 personalizado que utiliza un algoritmo de generación de dominio para encontrar su C2 y carga de manera reflexiva los módulos siguientes en la memoria», dijeron los investigadores de Huntress Anna Pham y Zach Rogers. La actividad fue detectada por el proveedor de seguridad el mes pasado.
El cargador admite varios componentes funcionalmente distintos para manejar el ciclo de vida general, descubrimiento de C2 impulsado por DGA mediante un diccionario integrado de 1000 palabras, identificación de víctimas mediante un valor UUID único escrito en «%LOCALAPPDATA%\hyper-v.ver», sondeo de tareas, recuperación y ejecución de DLL y un cifrado de bytes personalizado para proteger la comunicación C2 y el diccionario DGA.
Con el acceso establecido, se dice que el actor de amenazas desconocido participó en una actividad práctica con el teclado para configurar las exclusiones de Microsoft Defender, implementar túneles SOCKS inversos de Chisel, realizar reconocimientos adicionales, configurar un túnel de Cloudflare para acceso persistente y propagarse lateralmente a través de WMIExec y SMBExec para llegar al controlador de dominio y propagar EtherRAT a través de más de 11 hosts.
ClickFix sigue siendo una técnica duradera
Los descubrimientos se producen mientras ClickFix sigue siendo un método eficaz para atacar a los usuarios de Windows y macOS con pantallas de verificación de bots fraudulentas para entregar cargas útiles maliciosas como Ladrón de fexiaun ladrón de información de macOS y HellsUcheckeruna puerta trasera entregada a través de ÉterOcultar que es capaz de ejecutar archivos recuperados de C2 e informar los resultados.
Las campañas ClickFix también capitalizado sobre el creciente interés en torno a las herramientas de inteligencia artificial (IA) para distribuir instaladores MSI falsos para que Claude ejecute cargas útiles de PowerShell.
«ClickFix sigue siendo eficaz por una simple razón: explota la naturaleza humana. Las personas siguen naturalmente las instrucciones cuando se les presenta una instrucción clara y de apariencia autorizada ('presione Win+R, pegue esto, presione Enter')», dijeron los investigadores de Huntress. «La ingeniería social no necesita ser sofisticada; sólo necesita parecer un paso legítimo para solucionar problemas, y la mayoría de las veces, eso es suficiente».
El riesgo que representa pegar comandos en la aplicación Terminal desde sitios web (o agentes de chat, o aplicaciones de mensajería o correo electrónico) ha llevado a Apple a introducir una nueva ventana emergente de seguridad en macOS Tahoe 26.4 que advierte a los usuarios de Mac que intentan hacerlo.
«Los estafadores utilizan estos canales para instruir a las personas a pegar comandos maliciosos en la Terminal para dañar su Mac o comprometer su privacidad», Apple notas en un documento de soporte publicado esta semana. «Esta alerta ayuda a garantizar que no lo engañen para que ejecute un comando que no esperaba».
