ClickFix es una técnica de ingeniería social que engaña a usuarios para ejecutar comandos maliciosos. Esta nueva variante abusa de nslookup para recuperar scripts de PowerShell vía DNS, permitiendo la instalación del troyano ModeloRAT. La solución radica en el monitoreo estricto de consultas DNS anómalas y la educación en higiene digital
Esto es lo que descubrirás:
En este análisis técnico, descubrirá cómo los atacantes han transformado una herramienta de diagnóstico estándar en un vector de infección crítico. Analizaremos la anatomía del nuevo ClickFix, el uso inédito del protocolo DNS como canal de comando y control, y las estrategias de persistencia que utiliza el malware ModeloRAT para comprometer la integridad de su arquitectura TI corporativa.
En el dinámico ecosistema de la ciberseguridad, la confianza del usuario sigue siendo el eslabón más explotado. Los ataques de ClickFix han dejado de ser simples ventanas emergentes para convertirse en sofisticadas operaciones de ingeniería social que desafían incluso a arquitecturas de red robustas al ocultarse en el tráfico legítimo de la organización.
Para los tomadores de decisiones, entender esta evolución es vital. No se trata solo de un ejecutable malicioso, sino de una táctica que utiliza herramientas nativas del sistema, como nslookup, para saltarse perímetros de seguridad tradicionales. En E-dea Networks, analizamos estos vectores para transformar la vulnerabilidad en una infraestructura resiliente y preparada para el futuro.
La evolución de las amenazas: de la web al DNS
Tradicionalmente, las campañas de ClickFix se basaban en convencer a los usuarios de ejecutar comandos de PowerShell o shell directamente para instalar malware desde fuentes web. Sin embargo, la sofisticación ha escalado: los actores de amenazas ahora abusan de las consultas DNS como parte de estos ataques de ingeniería social.
Esta variante representa el primer uso conocido de DNS como canal de distribución en estas campañas. Al utilizar respuestas DNS para enviar scripts maliciosos, los atacantes pueden modificar las cargas útiles sobre la marcha mientras el tráfico se camufla perfectamente con las consultas DNS normales de la empresa. Esta evolución de ClickFix demuestra que los perímetros basados solo en filtrado HTTP ya no son suficientes.
Anatomía del ataque: El rol de nslookup en ClickFix
El núcleo de esta nueva técnica de ClickFix radica en el engaño: se instruye a las víctimas para que ejecuten el comando nslookup en el cuadro de diálogo "Ejecutar" de Windows. A diferencia de un diagnóstico de red legítimo, este comando consulta un servidor DNS controlado por el atacante en lugar del servidor predeterminado del sistema.
El proceso técnico funciona de la siguiente manera:
- El comando emite una búsqueda para un nombre de host (como "example.com") contra la IP del atacante (ej. 84.21.189.20).
- El sistema analiza la respuesta en el campo "Name:" para recibir la carga útil de la siguiente etapa.
- Esta técnica de ClickFix es especialmente peligrosa porque utiliza una herramienta administrativa confiable para evadir la detección inicial.
Respuesta de consulta DNS que contiene el segundo comando de PowerShell a ejecutar. Fuente: Microsoft
Análisis técnico: cargas útiles y el script de PowerShell
Una vez que se realiza la consulta, el servidor DNS malicioso devuelve una respuesta que contiene un script de PowerShell. Este script se ejecuta automáticamente en el dispositivo de la víctima a través del intérprete de comandos (cmd.exe).
Aunque el comando inicial es breve, su función es crítica: actúa como un "dropper" que descarga malware adicional de la infraestructura del atacante. En las campañas observadas, este proceso descarga un archivo ZIP que contiene scripts de Python diseñados para realizar un reconocimiento exhaustivo tanto del dispositivo infectado como del dominio corporativo.
También te puede interesar:SOC: La defensa clave contra ciberataques en empresas
ModeloRAT y persistencia: El objetivo final
El objetivo último de este flujo de ClickFix es la instalación de ModeloRAT, un troyano de acceso remoto que permite a los atacantes controlar sistemas comprometidos de forma externa. Para asegurar que el acceso no se pierda tras un reinicio, el malware establece mecanismos de persistencia avanzados:
-
Crea un archivo VBScript malicioso en la ruta %APPDATA%\WPy64-31401\python\script.vbs.
-
Genera un acceso directo en la carpeta de inicio (%STARTUP%\MonitoringService.lnk) para garantizar su ejecución automática.
-
Esta persistencia convierte una infección de ClickFix en una brecha de seguridad a largo plazo.
Evasión Avanzada: ¿Por qué los filtros tradicionales fallan?
La eficacia de esta variante de ClickFix reside en su capacidad de evasión. Al recuperar cargas útiles a través de registros DNS en lugar de descargas HTTP directas, los atacantes logran mezclarse con el tráfico de red legítimo que suele estar menos supervisado.
Además, los atacantes están diversificando sus tácticas de entrega:
-
Utilizan páginas compartidas de ChatGPT, Grok y Claude Artifacts para promover guías falsas que inducen al error.
-
Han desarrollado variantes como "ConsentFix", que abusa de Azure CLI para secuestrar cuentas de Microsoft sin necesidad de contraseñas, eludiendo incluso la autenticación multifactor (MFA).
-
La rápida evolución de ClickFix muestra un experimento constante con nuevas tácticas de entrega y tipos de carga útil para diversos sistemas operativos.
Estrategias de mitigación y resiliencia
Ante un panorama donde el ClickFix abusa de protocolos base como el DNS, la defensa debe ser proactiva y multinivel. La detección no puede depender solo de firmas de archivos, sino del análisis de comportamiento anómalo en herramientas como nslookup y el monitoreo de tráfico hacia IPs de servidores DNS no autorizados.
En E-dea Networks, implementamos arquitecturas de "Zero Trust" y monitoreo de endpoints que identifican la ejecución de comandos sospechosos desde el cuadro de diálogo de Windows antes de que el ClickFix logre establecer persistencia o desplegar el ModeloRAT.
Por E-dea Networks
