El malware conocido como Litrodo se ha convertido en el final en adoptar la técnica de ingeniería social ampliamente utilizada emplazamiento ClickFix como un vector de distribución.
«La técnica ClickFix es particularmente arriesgada porque permite que el malware se ejecute en la memoria en punto de ser escrito en el disco», dijo Expel en un noticia compartido con Hacker News. «Esto elimina muchas oportunidades para los navegadores o herramientas de seguridad para detectar o cerrar el malware».
Latrodectus, que se cree que es un sucesor de ICEDID, es el nombre donado a un malware que actúa como descargador para otras cargas bártulos, como el ransomware. Primero fue documentado por Promio y Team Cymru en abril de 2024.
Por cierto, el malware es uno de los muchos software taimado para sufrir un retroceso eficaz como parte de la Operación Endgame, que eliminó 300 servidores en todo el mundo y neutralizó 650 dominios relacionados con Bumblebee, Lactrodectus, Qakbot, Hijackloader, Danabot, Trickbot y Warmcookie entre el 19 de mayo y el 22, 2025.
En el final conjunto de ataques Latrodectus observados por Expel en mayo de 2025, los usuarios desprevenidos son engañados para copiar y ejecutar un comando PowerShell desde un sitio web infectado, una táctica que se ha convertido en un método prevalente para distribuir una amplia tono de malware.
«Cuando un beneficiario ejecute por un beneficiario, estos comandos intentarán instalar un archivo situado en la URL remota usando MSIEXEC y luego ejecutarlo en la memoria», dijo Expel. «Esto evita que el atacante tenga que escribir el archivo a la computadora y arriesgarse a ser detectado por el navegador o un antivirus que podría detectarlo en el disco».
El instalador de MSI contiene una aplicación legítima de NVIDIA, que se utiliza para marcar una DLL maliciosa, que luego usa Curl para descargar la carga útil principal.
Para mitigar los ataques de este tipo, se recomienda deshabilitar el software Windows Ejecutar utilizando objetos de política de liga (GPO) o apagar la tecla Hot «Windows + R» a través de un cambio de registro de Windows.
De ClickFix a Tiktok
La divulgación se produce cuando Trend Micro reveló detalles de una nueva campaña de ingeniería que, en punto de aguardar en las páginas falsas de Captcha, emplea videos de Tiktok probablemente generados utilizando herramientas de inteligencia fabricado (IA) para entregar los robadores de información Vidar y Stealc al instruir a los usuarios a ejecutar comandos maliciosos en sus sistemas para activar Windows, Microsoft Office, Capcut y Spotify.
Estos videos se han publicado en varias cuentas de Tiktok como @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc y @digitalDreams771. Estas cuentas ya no están activas. Uno de los videos que afirman proporcionar instrucciones sobre cómo «aumentar su experiencia de Spotify al instante» ha acumulado casi 500,000 visitas, con más de 20,000 me gusta y más de 100 comentarios.
La campaña marca una nueva subida de ClickFix en que los usuarios que buscan formas de activar aplicaciones pirateadas se guían verbal y visualmente para desplegar el cuadro de diálogo Windows Run presionando la tecla Hot «Windows + R», el emanación de PowerShell, y ejecuta el comando resaltado en el video, comprometiendo sus propios sistemas.
«Los actores de amenazas ahora están utilizando videos de Tiktok que se generan potencialmente utilizando herramientas con IA para diseñar socialmente a los usuarios para ejecutar comandos de PowerShell bajo la apariencia de guiarlos a activar software razonable o desbloquear características premium», dijo el investigador de seguridad Junestherry Dela Cruz.
«Esta campaña destaca cómo los atacantes están listos para armarse las plataformas de redes sociales que sean actualmente populares para distribuir malware».
Aplicaciones de Ledger falsas utilizadas para robar frases de semillas de los usuarios de Mac
Los hallazgos además siguen el descubrimiento de cuatro campañas de malware diferentes que aprovechan una lectura clonada de la aplicación Ledger Live para robar datos confidenciales, incluidas las frases de semillas, con el objetivo de drenar las billeteras de criptomonedas de las víctimas. La actividad ha estado en curso desde agosto de 2024.
Los ataques utilizan los archivos DMG maliciosos que, cuando se lanzan, inician Applecript para exfiltrar contraseñas y datos de Apple Notes, y luego descargar una lectura troyanizada de Ledger Live. Una vez que se abre la aplicación, advierte a los usuarios de un supuesto problema de cuenta y que requiere su frase de semillas para la recuperación. La frase semilla ingresada se envía a un servidor controlado por el atacante.
Moonlock Lab, que arrojó luz sobre la campaña, dijo que las aplicaciones deshonestas hacen uso de MacOS Stealer Malware como Atomic MacOS Stealer (AMOS) y Odyssey, la última de las cuales introdujo el nuevo esquema de phishing en marzo de 2025. Vale la pena señalar que la actividad se superpone con una campaña de Infoster de MacOS que se revela a los usuarios de Live Users a través de los binarios de Janers, asaltados, asaltados, asaltados.
«En los foros web oscuros, la charla en torno a los esquemas de anti-legílos está creciendo. La próxima ola ya está tomando forma», señaló la División de Ciberseguridad de MacPaw. «Los piratas informáticos continuarán explotando el punto de los propietarios de Crypto de confianza en Ledger Live».
