LIVE_FEED
--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL
← назад към блога
Inteligencia de amenazas2026-04-286 мин. четене

Anatomía del señuelo 'CAPTCHA falso → ClickFix'

Un repaso de 90 segundos a una de las cadenas de ingeniería social más exitosas de este año, con la transcripción MITM completa de una detección real.

ClickFix es una técnica en la que una página de CAPTCHA falsa convence al usuario de pegar un comando del portapapeles en el diálogo 'Ejecutar' de Windows. El comando en el portapapeles suele ser un one-liner de PowerShell que descarga un loader de segunda etapa.

La infraestructura impresiona por su sencillez: un plugin de WordPress comprometido inyecta un script condicional que sustituye la página por el señuelo cuando el visitante encaja en el perfil objetivo (Windows + IP no corporativa + primera visita).

Nuestro pipeline lo captura en la etapa de la cadena de redirección. El JS inyectado hace un fetch same-origin a /wp-content/plugins/<name>/api.php, que devuelve el HTML del señuelo. Este fetch es invisible para los escáneres pasivos, pero irrefutable cuando se reproduce en un navegador real.

La buena noticia: cada detección confirmada del último trimestre compartía el mismo encabezado de tres caracteres en la respuesta de api.php. Ahora marcamos ese encabezado a nivel de red como advertencia temprana.

свързани_статии
Detección
Detección de Magecart skimmers en 2026: qué cambió tras el Grupo 12
Ingeniería
Por qué elegimos un intervalo de escaneo de 5 minutos (y no de 1 minuto)