1. Avisos de seguridad
  2. Campañas de malware Latrodectus, Vidar y StealC utilizan TikTok y la técnica ClickFix para comprometer sistemas
Fecha de publicación: Jue, 05/06/2025 - 14:07

Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

Los actores de amenazas están utilizando videos en TikTok —algunos generados con inteligencia artificial— para engañar a los usuarios y convencerlos de ejecutar comandos de PowerShell que descargan malware desde sitios remotos. Este método se basa en la técnica ClickFix, que permite ejecutar malware directamente en memoria mediante MSIExec, evitando así su detección en el disco.

El malware Latrodectus (descargador asociado a campañas de ransomware), así como los infostealers Vidar y StealC, se distribuyen bajo la apariencia de herramientas para activar software como Windows, Microsoft Office, CapCut y Spotify. Una de las tácticas es cargar una DLL maliciosa desde un instalador MSI legítimo (como uno de NVIDIA), que posteriormente utiliza curl para descargar la carga útil.

Recursos afectados

  • Dispositivos con sistemas operativos Windows (usuarios que ejecutan PowerShell manualmente).
  • Plataformas sociales: TikTok (como canal de distribución del engaño).
  • Aplicaciones mencionadas en los engaños: Spotify, Microsoft Office, Windows, CapCut.

Solución

  • Neutralización parcial: Algunos de los dominios y servidores fueron derribados en la Operación Endgame (mayo 2025), que desmanteló infraestructura maliciosa vinculada a Latrodectus, QakBot, Bumblebee, y otros.
  • Las cuentas de TikTok utilizadas para distribuir los videos engañosos han sido desactivadas.
  • No obstante, la técnica ClickFix continúa activa y en evolución, lo que requiere medidas de mitigación locales.

Recomendaciones

  • Evitar ejecutar comandos desde fuentes no oficiales, especialmente desde redes sociales o sitios no verificados.
  • Deshabilitar la tecla de acceso rápido "Windows + R" mediante políticas de grupo o ajustes en el Registro de Windows.
  • Desactivar PowerShell para usuarios no administradores, especialmente en entornos corporativos.
  • Monitorear el uso de MSIExec, curl y otros comandos del sistema como posibles vectores de ejecución maliciosa.
  • Implementar soluciones de seguridad con capacidades de detección en memoria (EDR/XDR) que puedan mitigar amenazas que no se escriben en disco.
  • Capacitar a los usuarios sobre los riesgos del software pirata y los engaños en redes sociales.

Referencias

The Hacker News