La ingeniería social ha encontrado un nuevo y peligroso aliado en la confianza que los usuarios depositan en las herramientas nativas del sistema. Durante este mes de marzo de 2026, Microsoft ha alertado sobre una evolución crítica en la campaña conocida como ClickFix. El ataque ya no se limita al clásico cuadro de "Ejecutar", sino que ahora utiliza directamente Windows Terminal para desplegar el infostealer Lumma.
El engaño: De falsos CAPTCHAs a Windows Terminal
La táctica es tan sencilla como efectiva. Los atacantes comprometen sitios web legítimos o crean páginas de soporte falsas que muestran errores técnicos ficticios o solicitudes de verificación de identidad (falsos CAPTCHAs).
Para "solucionar" el problema, la web instruye al usuario a realizar una combinación de teclas específica: Windows + X y luego pulsar I. Este atajo abre directamente Windows Terminal (o PowerShell) en un entorno que el usuario percibe como seguro y administrativo. Una vez abierta la consola, se le pide que pegue un código que supuestamente "verificará" su identidad o "reparará" el error.
Análisis técnico: Lumma Stealer y la ofuscación de scripts
Lo que el usuario realmente está pegando es un comando de PowerShell altamente ofuscado. En esta nueva variante observada en 2026, el código utiliza una cadena de ejecución en varias etapas:
- Comando inicial: Una cadena comprimida en XOR y codificada en hexadecimal que parece inofensiva a simple vista.
- Descompresión en memoria: Al ejecutarse en la terminal, el comando genera nuevos procesos de PowerShell que decodifican el script real, evitando que los antivirus tradicionales detecten la descarga del archivo malicioso.
- Infección por Lumma Stealer: Una vez activo, el malware extrae de forma silenciosa contraseñas guardadas en navegadores, datos de carteras de criptomonedas y cookies de sesión, enviándolos a los servidores de los atacantes.
Esta técnica es especialmente insidiosa porque elude las protecciones diseñadas para monitorizar el diálogo "Ejecutar" (Win+R), mezclándose con los flujos de trabajo legítimos de los administradores de sistemas.
Buenas prácticas para administradores y usuarios
La mejor defensa contra la campaña ClickFix es la desconfianza proactiva. Ningún servicio web legítimo, ya sea de Microsoft, Google o cualquier entidad bancaria, te pedirá jamás que abras una terminal y pegues un comando para resolver un problema de navegación.
Recomendaciones de seguridad:
- Habilitar el registro de bloques de script (Script Block Logging): Configura PowerShell para registrar el contenido de todos los scripts que se ejecuten. Esto permite auditar comandos ofuscados incluso si se ejecutan directamente en la terminal.
- Desconfiar de atajos de teclado inusuales: Desconfía de cualquier sitio que te pida usar
Win+X,Win+Ro combinaciones similares para "verificar" que eres humano. - Educación al usuario: Informa a los equipos de trabajo sobre la existencia de esta técnica de "pastejacking" (secuestro de portapapeles). La terminal es una herramienta de administración, no un paso necesario para navegar por la web.
En un entorno donde la IA genera señuelos cada vez más realistas, la terminal de Windows debe ser tratada con el mismo cuidado que una llave maestra. Si no escribiste tú el comando, no lo ejecutes.
0 Comentarios