La banda de ransomware Interlock ha adoptado un nuevo método de ataque, llamado ClickFix, que consiste en engañar a las víctimas para que ejecuten comandos maliciosos de PowerShell disfrazados de herramientas informáticas.
Esta táctica forma parte de su estrategia para vulnerar redes corporativas e instalar ransomware que cifra archivos.
Cómo Funciona ClickFix
ClickFix es una forma de ingeniería social en la que los atacantes se hacen pasar por herramientas informáticas legítimas y engañan a los usuarios para que ejecuten comandos peligrosos en sus sistemas.
Esto da como resultado la instalación de malware, y en este caso, ransomware. Interlock ha estado utilizando este método desde enero de 2025 para obtener acceso a las redes.
URLs Maliciosas y Herramientas Falsas ️
La banda de ransomware configuró sitios falsos que imitan servicios conocidos, como:
- microsoft-msteams[.]com/additional-check.html
- microstteams[.]com/additional-check.html
- ecologilives[.]com/additional-check.html
- advanceipscaner[.]com/additional-check.html
El sitio falso más común imita Advanced IP Scanner, una herramienta utilizada por los profesionales de TI para escanear redes.
La Cadena de Ataque
- Falsa Solicitud de CAPTCHA: Las víctimas ven un CAPTCHA que les pide verificar su identidad haciendo clic en un botón de “Arreglar”.
- Comando PowerShell: Al hacer clic en el botón, se copia un comando malicioso de PowerShell al portapapeles. Al ejecutarlo, se descarga una carga útil PyInstaller de 36 MB.
- Instalación Doble: Mientras se instala el software legítimo (Advanced IP Scanner), se ejecuta un script PowerShell oculto en segundo plano, que modifica el Registro de Windows para asegurar la persistencia y recopila información del sistema como la versión del SO, privilegios, procesos en ejecución y unidades disponibles.
Explotación Posterior y Ejecución de Ransomware ️
Una vez que se ha desplegado el malware, los operadores de Interlock usan credenciales robadas para moverse lateralmente dentro de la red a través de herramientas como RDP, PuTTY, AnyDesk y LogMeIn.
Exfiltran datos cargándolos en Azure Blobs, luego implementan ransomware para cifrar los archivos.
RAT (Troyano de Acceso Remoto): Interlock utiliza un RAT configurable para exfiltrar archivos, ejecutar comandos en la terminal y ejecutar DLL maliciosas.
Exfiltración de Datos: Antes de la ejecución del ransomware, los archivos son exfiltrados, lo que aumenta la presión sobre las víctimas para que paguen el rescate.
Evolución de la Nota de Rescate
La nota de rescate de Interlock ha evolucionado, ahora se enfoca más en las consecuencias legales si los datos robados se hacen públicos.
Este cambio indica que los atacantes están tratando de presionar a las víctimas con la posibilidad de escrutinio regulatorio y acciones legales.
Tendencia en la Industria del Ransomware
La adopción de ataques ClickFix por parte de Interlock es parte de una tendencia más amplia en la que varias bandas de ransomware, incluidos los Lazarus (el grupo de hackers norcoreano), están utilizando tácticas similares.
Apenas el mes pasado, Lazarus atacó a buscadores de empleo en la industria criptográfica utilizando ataques ClickFix.
Conclusiones ️
- ClickFix está ganando terreno entre diversos actores de amenazas debido a su efectividad.
- El ransomware Interlock está evolucionando con nuevas técnicas para infiltrarse en redes, exfiltrar datos y aumentar su poder de negociación para exigir rescates.
- Las empresas y los individuos deben ser cautelosos con las descargas no solicitadas de herramientas informáticas y estar al tanto de las tácticas de ingeniería social que pueden evadir defensas tradicionales.