Campaña ClickFix con pantallas falsas de Windows Update

Windows Update
Empresas
Ciudadanía
Administración pública
Windows
Nivel de alerta
Alto

Se ha identificado una nueva campaña de ClickFix, una técnica de ingeniería social que utiliza pantallas falsas de actualización de Windows y esteganografía en imágenes PNG para inducir a los usuarios a ejecutar manualmente comandos maliciosos. El objetivo final es instalar malware tipo infostealer, principalmente LummaC2 y Rhadamanthys, activos actualmente en España.

Los atacantes despliegan páginas web que imitan a la perfección la interfaz de Windows Update. La falsa pantalla indica al usuario que para completar la actualización debe:

  1. Pulsar Win + R
  2. Pegar un comando que el sitio ha copiado en el portapapeles
  3. Ejecutarlo manualmente



Este comando, previamente oculto mediante técnicas de esteganografía en un archivo PNG, descarga y ejecuta malware orientado al robo de credenciales de:

  • Navegadores
  • Correo
  • VPN
  • Wallets
  • Servicios cloud

La técnica no depende de ninguna vulnerabilidad del sistema operativo, sino exclusivamente del engaño al usuario.

Impacto

  • Robo de credenciales y datos sensibles
  • Compromiso de cuentas corporativas o personales
  • Riesgo de accesos no autorizados a sistemas críticos
  • Posible propagación lateral si el equipo pertenece a un entorno empresarial

Indicadores observados

  • Páginas web que simulan pantallas de Windows Update con instrucciones manuales.
  • PNG con esteganografía que contiene payloads cifrados.
  • Ejecución de comandos PowerShell o CMD tras el uso de Win+R.
  • Conexiones a C2 asociados a LummaC2 y Rhadamanthys.


Mitigación

  • No ejecutar nunca comandos proporcionados por páginas web o mensajes no verificados.
  • Recordar que Windows Update no requiere pasos manuales ni comandos mediante Win+R.
  • Mantener antivirus y EDR actualizados.
  • Activar protección avanzada del navegador (SmartScreen/Chrome Safe Browsing).
  • Bloquear dominios y URLs sospechosas en el firewall o proxy corporativo.
  • Revisar equipos expuestos buscando procesos o artefactos de LummaC2/Rhadamanthys.
  • Regenerar contraseñas si se sospecha compromiso.


Recomendación final

Se aconseja a ciudadanos, empresas y administración pública extremar la precaución ante mensajes o pantallas que soliciten ejecutar comandos manuales en Windows.
Difundir aviso interno si corresponde.