Microsoft ha documentado una nueva campaña de ingeniería social, denominada ClickFix, en la que actores maliciosos aprovechan Windows Terminal (wt.exe) para ejecutar una compleja cadena de infección que culmina en la instalación del infostealer Lumma Stealer. Esta actividad, observada en febrero de 2026, tiene como objetivo principal el robo de credenciales y otros datos sensibles almacenados en navegadores modernos.
Ingeniería social con Windows Terminal en lugar del diálogo «Ejecutar»
Durante años, muchas soluciones de seguridad se han centrado en detectar intentos de convencer al usuario de abrir el cuadro Ejecutar (Run) y pegar comandos sospechosos. La campaña ClickFix introduce un cambio táctico: los atacantes instruyen a la víctima para usar la combinación de teclas Windows + X → I, que abre directamente Windows Terminal.
Según Microsoft Threat Intelligence, esta técnica resulta más creíble para el usuario medio, ya que el terminal se percibe como una herramienta legítima de administración utilizada por personal de TI. Las páginas maliciosas muestran CAPTCHAs falsos, supuestas «pantallas de verificación», asistentes de «diagnóstico» o «guías de solución de problemas», tras lo cual indican al usuario que copie y pegue manualmente un comando concreto en Windows Terminal.
La clave de este enfoque es el bypass de los mecanismos de detección diseñados específicamente para el abuso del diálogo «Ejecutar». Al usar un componente legítimo como Windows Terminal dentro de un supuesto contexto administrativo, la cadena maliciosa se camufla entre actividades de gestión habituales.
Cadena técnica del ataque ClickFix y despliegue de Lumma Stealer
Comando ofuscado en hexadecimal y activación de PowerShell
En la página trampa de ClickFix, la víctima se enfrenta a una larga cadena de texto que debe copiar: se trata de un comando codificado en hexadecimal y comprimido mediante una operación XOR. Una vez pegado en Windows Terminal, se desencadena la ejecución de múltiples instancias de Terminal y de PowerShell, hasta crear un proceso de PowerShell dedicado a desofuscar y ejecutar el script malicioso.
Descarga de archivo ZIP y abuso de 7-Zip como LOLBin
El script de PowerShell resultante descarga en disco un archivo ZIP junto con un binario legítimo de 7-Zip, renombrado de forma aleatoria. Esta utilidad se emplea como LOLBin (Living-off-the-Land Binary): una herramienta legítima reutilizada para fines maliciosos, lo que dificulta la detección basada en comportamiento.
Tras la extracción del ZIP se ejecuta una cadena de múltiples etapas cuyo objetivo final es desplegar Lumma Stealer. Este infostealer se centra en la exfiltración de artefactos de alto valor almacenados por los navegadores, como los ficheros Web Data y Login Data, donde se guardan credenciales, datos de autocompletado y otra información sensible. Los datos recopilados se envían a infraestructura de comando y control controlada por los atacantes.
Segundo vector de ataque: batch scripts, MSBuild y técnica de etherhiding
Microsoft también ha identificado un escenario alternativo dentro de la misma campaña. En esta variante, el comando comprimido que la víctima introduce en Windows Terminal descarga un script por lotes (.bat) con nombre aleatorio en el directorio %LocalAppData% utilizando cmd.exe. A continuación, dicho batch genera y escribe un script Visual Basic (VBS) en la carpeta %TEMP%.
El archivo .bat se ejecuta otra vez mediante cmd.exe con el argumento /launched y, adicionalmente, se invoca a través de MSBuild.exe. Este uso de MSBuild es un ejemplo típico de abuso de LOLBins, donde herramientas de desarrollo integradas en Windows se aprovechan para ejecutar código malicioso sin introducir nuevos binarios sospechosos.
El script establece conexiones con endpoints RPC de blockchains de criptomonedas, lo que apunta al uso de la técnica conocida como etherhiding: el tráfico de comando y control se disfraza como consultas legítimas a nodos de blockchain. Además, se emplea inyección de código basada en la API QueueUserAPC() en procesos chrome.exe y msedge.exe, permitiendo extraer de forma sigilosa los ficheros Web Data y Login Data directamente desde navegadores en ejecución.
Riesgos para las organizaciones y auge de Lumma Stealer como MaaS
ClickFix combina dos tendencias dominantes en la ciberdelincuencia actual: ingeniería social avanzada y proliferación de infostealers bajo el modelo MaaS (Malware-as-a-Service). Informes de referencia del sector, como el Verizon Data Breach Investigations Report, señalan que la mayoría de las intrusiones iniciales implican algún tipo de error humano o engaño al usuario, más que la explotación directa de vulnerabilidades técnicas.
Las empresas resultan especialmente expuestas cuando Windows Terminal, PowerShell, 7-Zip y MSBuild forman parte del día a día de sus equipos de TI. En estos entornos, bloquear por completo dichas herramientas suele ser inviable, lo que obliga a priorizar el refuerzo de la formación de usuarios y el monitoreo de comportamiento de alto contexto. El uso de Lumma Stealer incrementa el impacto potencial, ya que unas pocas credenciales robadas pueden habilitar movimientos laterales, acceso a servicios en la nube y fraudes financieros.
Medidas de protección frente a ClickFix y Lumma Stealer
1. Formación y concienciación del usuario. Es fundamental establecer políticas claras: los empleados no deben nunca copiar y pegar comandos desde páginas web en Windows Terminal, PowerShell ni cmd.exe, especialmente si se justifican como pasos para «verificar», «desbloquear» o «arreglar» problemas del navegador.
2. Controles técnicos y de monitorización. Resulta recomendable:
- Restringir o auditar el uso de wt.exe, PowerShell y MSBuild.exe mediante herramientas como AppLocker, WDAC u otras soluciones de control de aplicaciones.
- Configurar EDR o antivirus para detectar cadenas anómalas del tipo: Windows Terminal → PowerShell → descarga de ZIP → ejecución de 7-Zip renombrado.
- Vigilar la creación y ejecución de .bat y .vbs con nombres aleatorios en
%LocalAppData%y%TEMP%. - Controlar conexiones a RPC endpoints de blockchains cuando no sean habituales para la infraestructura corporativa.
- Implementar soluciones capaces de identificar inyecciones basadas en QueueUserAPC() y patrones de abuso de LOLBins.
3. Protección y gestión de credenciales. Para reducir el impacto de un infostealer como Lumma, conviene minimizar el uso de almacenamiento de contraseñas en navegadores, promover gestores de contraseñas dedicados, aplicar autenticación multifactor (MFA) en servicios críticos y revisar periódicamente los inicios de sesión guardados en Chrome, Edge y otros navegadores.
La campaña ClickFix pone de manifiesto la rapidez con la que los atacantes adaptan sus técnicas para aprovechar herramientas legítimas como Windows Terminal y el modelo MaaS de Lumma Stealer. Mantener programas continuos de formación, endurecer las políticas de uso de utilidades administrativas y seguir de cerca las recomendaciones de fuentes como Microsoft Threat Intelligence son pasos esenciales para reducir la superficie de ataque y limitar el riesgo de robo masivo de credenciales.
