La técnica emplea consultas DNS personalizadas para recuperar cargas maliciosas y evadir controles tradicionales

La nueva variante de ClickFix demuestra cómo el DNS puede convertirse en un canal encubierto para distribuir malware. Fuente: Thehackernews

Microsoft reveló detalles sobre una nueva variante de la técnica de ingeniería social ClickFix, en la que los atacantes persuaden a las víctimas para ejecutar comandos maliciosos mediante el cuadro “Ejecutar” de Windows. En esta versión, se utiliza la herramienta legítima nslookup para realizar consultas DNS contra infraestructura controlada por los atacantes, empleando el protocolo como canal de señalización para activar la siguiente etapa de la infección sin depender de descargas HTTP tradicionales.

Nslookup es abusado para iniciar la cadena de infección. Fuente: Thehackernews

Una vez establecida la comunicación, el sistema descarga un archivo comprimido que contiene scripts encargados de desplegar ModeloRAT, un troyano de acceso remoto que garantiza persistencia en el equipo comprometido. La campaña también se relaciona con la distribución de Lumma Stealer y CastleLoader, evidenciando un patrón creciente de abuso de herramientas nativas del sistema operativo para evadir soluciones de seguridad y monitoreo de red.

Fuente

https://thehackernews.com/2026/02/microsoft-discloses-dns-based-clickfix.html