18 de noviembre de 2025

🔥 ClickFix regresa: la campaña EVALUSION está instalando Amatera Stealer y NetSupport RAT con un solo clic

🔥 ClickFix regresa: la campaña EVALUSION está instalando Amatera Stealer y NetSupport RAT con un solo clic

¿Alguna vez has visto un “CAPTCHA” que te pide abrir el cuadro de ejecutar en Windows y pegar un comando?
Si lo has hecho, estuviste a un clic de perder todas tus credenciales.
Y no es exageración: así está operando la nueva campaña EVALUSION.

EVALUSION: una de las campañas de ingeniería social más peligrosas de 2025

Investigadores en ciberseguridad alertan sobre una campaña activa —bautizada como EVALUSION— que está aprovechando una técnica de ingeniería social extremadamente efectiva: ClickFix.
El objetivo: instalar Amatera Stealer y, en casos seleccionados, NetSupport RAT en equipos corporativos.

La campaña está creciendo rápidamente y está afectando especialmente a sectores tecnológicos, industriales e infraestructura crítica, donde un solo compromiso puede detonar incidentes graves.

🔎 ¿Qué es ClickFix y por qué es tan efectivo?

ClickFix explota un comportamiento humano muy simple: cuando una página “parece legítima”, la mayoría de la gente sigue las instrucciones sin cuestionarlas.

Las víctimas caen mediante:

  • páginas falsas que simulan CAPTCHAs

  • verificaciones de acceso inexistentes

  • formularios de “seguridad interna”

  • ventanas que dicen “Para continuar, ejecuta este comando”

Cuando el usuario abre Win+R y pega el comando proporcionado, se instala la primera etapa del ataque sin necesidad de exploits.

No es un fallo técnico. Es un fallo humano.

🦠 Etapa 1: instalación de Amatera Stealer

El primer payload que se instala es Amatera Stealer, un ladrón de información con capacidades avanzadas:

  • Robo de credenciales (navegadores, VPN, RDP, sessions tokens).

  • Exfiltración de datos sensibles.

  • Inyección en procesos legítimos como MSBuild.exe para ocultar actividad.

  • Uso de crypters y anti-depuración para evadir antivirus.

  • Técnicas que deshabilitan o evaden AMSI y otros controles nativos de Windows.

Amatera actúa de forma silenciosa y sirve como “escaneo inicial” para determinar si el objetivo vale la pena.

🕵️‍♂️ Etapa 2 (solo para objetivos valiosos): NetSupport RAT

Si el sistema infectado pertenece a un entorno de alto valor —como un equipo unido a dominio, un usuario con privilegios elevados o una máquina con criptomonedas— la campaña descarga un segundo malware:

NetSupport RAT, una herramienta de acceso remoto que permite al atacante:

  • controlar por completo el dispositivo

  • moverse lateralmente en la red

  • ejecutar comandos

  • transferir archivos

  • desplegar más payloads

  • activar vigilancia persistente

NetSupport RAT convierte un error de clic en un compromiso total de infraestructura.

🎯 ¿Cómo llega EVALUSION a los usuarios?

El grupo distribuye esta campaña mediante:

✔️ Phishing masivo

Correos que fingen ser:

  • notificaciones corporativas

  • accesos internos

  • renovaciones de credenciales

  • actualizaciones de seguridad

✔️ Sitios web comprometidos

Páginas legítimas hackeadas que redirigen a “verificaciones” falsas.

✔️ Check-ins de seguridad falsificados

La víctima no sospecha porque el sitio luce profesional, tiene logos reales y la narrativa es creíble.

Esto ha engañado incluso a usuarios con experiencia técnica.

⚠️ ¿Por qué esta campaña es tan peligrosa para TI?

Porque rompe el esquema clásico de defensa:

  • No explota vulnerabilidades del sistema → explota vulnerabilidades humanas.

  • No depende del correo corporativo → usa sitios, pop-ups y captchas falsos.

  • Se aprovecha del teletrabajo y de los flujos de validación continua.

  • Evade antivirus tradicionales gracias a crypters y bypass a AMSI.

Si trabajas en sistemas, desarrollo, soporte o administración de redes, esta campaña apunta directamente a ti.

🛡️ Cómo defenderse (acciones prácticas desde hoy)

✔️ 1. Bloquea ejecución de comandos para usuarios estándar

Restringe RunDialog, PowerShell y CMD para perfiles no administrativos.

✔️ 2. Implementa EDR o XDR con detección por comportamiento

La inyección en MSBuild.exe y el bypass de AMSI pueden detectarse por análisis de actividad anómala.

✔️ 3. Endurece la navegación web corporativa

Filtra dominios recién creados, páginas con reputación desconocida y sitios de alto riesgo.

✔️ 4. Capacita a tu personal técnico

Incluso expertos han caído.
Incluye ejemplos reales de ClickFix en tus programas de awareness.

✔️ 5. Revisa endpoints que ejecuten MSBuild fuera de pipelines válidos

Si MSBuild trabaja cuando un desarrollador no está compilando, es señal de alerta.

✔️ 6. Monitorea actividades de NetSupport

Si no usas NetSupport en tu empresa, cualquier intento de instalación debe alarma.

Fuente: https://www.prosec-networks.com/en/blog/clickfix-malware/
← Anterior 🎯 El engaño perfecto: cómo Corea del Nor...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Por qué LinkedIn es el nuevo campo de ataque favorito del phishing
🎯 El engaño perfecto: cómo Corea del Norte infiltró 136 empresas de EE. UU. usando trabajadores remotos falsos
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio