CAPTCHA con doble fondo: cómo una verificación rutinaria de “no soy un robot” puede convertirse en software espía
Delincuentes encuentran la forma de engañar incluso a los usuarios más cautelosos.
Especialistas de Microsoft detectaron una nueva oleada de ingeniería social, en la que los atacantes modificaron el esquema habitual del ataque ClickFix. En lugar del lanzamiento tradicional de un comando malicioso a través de la ventana "Ejecutar", los delincuentes empezaron a usar el Terminal de Windows. Este enfoque ayuda a eludir los mecanismos de defensa y hace que las acciones se asemejen más a operaciones administrativas normales.
El equipo Microsoft Defender Experts informó que la actividad se detectó en febrero de 2026. El esquema malicioso comienza con instrucciones para la víctima que parecen una comprobación rutinaria o un procedimiento técnico. Se solicita al usuario que abra el menú del sistema con la combinación de teclas Windows + X y seleccione Terminal o PowerShell. Tras abrirlo, se le pide a la persona que pegue el contenido del portapapeles y presione Enter.
Ese escenario se disfraza como acciones administrativas estándar y suscita menos sospechas. Al mismo tiempo, muchas herramientas de protección monitorizan los abusos de la ventana "Ejecutar", pero no siempre reaccionan ante la actividad a través del Terminal. Como resultado, el ataque elude algunos sistemas de detección.
Los comandos de PowerShell se difunden mediante páginas CAPTCHA falsificadas, ventanas de "verificación" o pseudo-instrucciones de solución de problemas. A primera vista, esas páginas parecen elementos comunes de una interfaz web, por lo que las víctimas con frecuencia ejecutan las acciones propuestas.
Tras pegar el comando comienza una cadena de lanzamiento de procesos adicionales. Uno de los procesos descifra un comando hexadecimal integrado, comprimido con XOR. A continuación, el script descarga la utilidad legítima 7-Zip, renombrada por los atacantes. El extractor descomprime los componentes del ataque por etapas.
Las acciones posteriores incluyen la descarga de módulos adicionales, la creación de tareas programadas y la adición de exclusiones en Microsoft Defender. Las herramientas maliciosas también recopilan información del sistema y del entorno de red del equipo infectado. El componente final es un módulo llamado Lumma Stealer, que inyecta código en los procesos de los navegadores Chrome y Edge mediante el mecanismo QueueUserAPC. Como resultado, los atacantes obtienen acceso a los datos de los navegadores, incluidos los archivos Web Data y Login Data, donde se almacenan las credenciales guardadas.
Los especialistas también registraron un escenario alternativo de ataque. En ese caso, un comando de PowerShell descarga un archivo .bat que, a través de cmd.exe, crea un VBScript. El script se ejecuta mediante MSBuild y se conecta a nodos RPC de redes blockchain. Este enfoque apunta al uso de la técnica etherhiding, cuando la infraestructura maliciosa se oculta tras servicios blockchain.
Microsoft señala que las herramientas de protección integradas en Microsoft Defender son capaces de detectar muchos elementos de esta campaña. No obstante, el nuevo esquema demuestra la evolución de la ingeniería social. Los atacantes cada vez más disfrazan acciones maliciosas como operaciones del sistema habituales para aumentar la confianza de las víctimas y reducir la probabilidad de detección.