Microsoft llama a todos: Bloqueen la ejecución y PowerShell para sus empleados

Microsoft advirtió sobre el aumento de los ataques masivos de phishing ClickFix y recomendó a los administradores de sistemas limitar el uso de herramientas de línea de comandos y desactivar la ventana «Ejecutar» en Windows. Este enfoque está relacionado con la proliferación de esquemas en los que los atacantes inducen a los usuarios a ejecutar manualmente comandos maliciosos, disfrazando el proceso como una verificación CAPTCHA, una confirmación de identidad o la solución de pequeños «problemas técnicos».

El método ClickFix ha sido ampliamente utilizado desde el año pasado. A la víctima se le muestra una página con instrucciones simples que le indican copiar y ejecutar código en Windows Run, PowerShell o Windows Terminal. Una vez iniciado, el comando descarga troyanos, infostealers o cargadores que otorgan acceso total al sistema. Microsoft señala que estas campañas se dirigen diariamente a miles de dispositivos en todo el mundo, y cada mes resultan infectadas decenas de miles de personas. Además, los ataques pueden tener éxito incluso con las defensas activadas, incluyendo soluciones EDR, lo que hace que el método sea especialmente peligroso.

Según Microsoft Threat Intelligence, los atacantes emplean diversos escenarios de entrega. Con mayor frecuencia difunden enlaces a páginas infectadas mediante anuncios en sitios dudosos, campañas masivas, correos de phishing y páginas comprometidas. El usuario puede encontrarse con un ataque, por ejemplo, al intentar reproducir una película gratuita en un portal pirata: al presionar el botón de reproducción se abre una página falsa con instrucciones. En ocasiones se utilizan imitaciones de errores del sistema, mensajes de Discord u otros servicios que supuestamente requieren verificación de identidad.

El objetivo principal de los atacantes es convencer a la víctima de ejecutar por sí misma el código malicioso. Para ocultar la actividad, los comandos se camuflan y se cifran, y la descarga de componentes se realiza desde diferentes servidores. Con ClickFix se distribuyen algunas de las herramientas más peligrosas: LummaStealer, Xworm, AsyncRAT, NetSupport, SectopRAT, los cargadores Latrodectus y MintsLoader, así como rootkits como r77. Muchas de estas amenazas se ejecutan en memoria sin crear archivos, inyectando código malicioso en procesos legítimos de Windows, incluidos msbuild.exe, regasm.exe y powershell.exe.

Microsoft detectó la venta activa de constructores ClickFix listos para usar en foros clandestinos. El precio de estos paquetes varía entre 200 y 1.500 dólares al mes, y sus autores prometen evadir antivirus y mantener la persistencia en el sistema. Los expertos advierten que, debido a la dependencia del método de las acciones del usuario, estos ataques pueden evadir los mecanismos de protección tradicionales.

En las recomendaciones publicadas, Microsoft aconseja a los administradores de sistemas restringir al máximo el uso de herramientas de línea de comandos para usuarios sin experiencia. Entre las medidas están la desactivación de la ventana «Ejecutar», la prohibición de iniciar PowerShell y otros ejecutables desde ella, la limitación del acceso a Windows Terminal y la configuración de alertas al pegar código multilínea.

También se sugiere utilizar políticas de grupo para reforzar las configuraciones de Windows, establecer reglas estrictas de ejecución de scripts y aplicar control de aplicaciones para bloquear la ejecución de utilidades del sistema desde fuentes no confiables.

La compañía subraya la importancia de aumentar la alfabetización digital y capacitar a los empleados en técnicas de ingeniería social para reducir el riesgo de que ejecuten accidentalmente comandos maliciosos. En el informe se publican además direcciones IP, dominios y otros indicadores de compromiso que pueden ayudar a los administradores a detectar a tiempo actividades sospechosas en la red.