Framework malicioso Clearfake
ClearFake es un framework malicioso de JavaScript utilizado por múltiples actores de amenaza distintos. Observado por primera vez a mediados de 2026, se enfoca en comprometer sitios web legítimos, especialmente aquellos creados con WordPress, inyectando y ofuscando scripts que son cargados en cada visita al sitio web. Las primeras variantes de ClearFake intentaban engañar a usuarios alertando sobre actualizaciones falsas de navegador para hacer que la víctima descargara e instalara un ejecutable malicioso, usualmente bajo la excusa de tener que actualizar el navegador de forma urgente. ClearFake también utiliza el SEO poisoning, es decir, manipular los resultados en motores de búsqueda (Google, Bing, DuckDuckGo, etc.) para que los sitios web comprometidos pasen a ser resultados destacados, aumentando la probabilidad de obtener más víctimas.
En sus variantes más nuevas, ClearFake ha comenzado a implementar una de las técnicas de phishing más exitosas: ClickFix, la cual utiliza menús CAPTCHA falsos para engañar a usuarios y conseguir que instalen malware. Asimismo, ClearFake ha comenzado a implementar tácticas evasivas como utilizar herramientas nativas de sistemas operativos (Living-Off-the-Land) como PowerShell y CDNs para distribuir el código malicioso o malware, lo cual limita la capacidad de productos de seguridad que dependen de catalogar dominios maliciosos y/o direcciones IP. ClearFake utiliza diferentes mensajes, avisos y notificaciones para incitar a la víctima a que realice 3 pasos: presionar Ctrl + C, Win + R y Ctrl+ V, con el fin de ejecutar código malicioso en la máquina de la víctima.
Actualmente se han visto campañas de ClearFake con ClickFix que también implementan una técnica llamada EtherHiding, la cual utiliza contratos inteligentes de blockchain como parte de la infraestructura maliciosa para evadir medidas defensivas e intentos de rastreo. Estos contratos son utilizados para Command-and-Control (C2) para enviar instrucciones o contenido necesario para el funcionamiento del malware.
Taxonomía
| Tactic | ID | Name |
| Initial Access | T1189 | Drive-by Compromise |
| Execution | T1204 | User Execution |
| Execution y Lateral Movement | T1072 | Software Deployment Tools |
| Execution | T1059 | Command and Scripting Interpreter |
| System Binary Proxy Execution | T1218.005 | MSHTA |
Indicadores de compromiso
| IOC | Tipo |
| quanpuls.aurorift.in.net | URL |
| mer-spireis.amber-drift.in.net | URL |
| crystal-bridge.amber-drift.in.net | URL |
| smaton.z7hire.in.net | URL |
| mermarkal5.velorune.in.net | URL |
| peta-cre.tires8f.in.net | URL |
| s75g160.stonemuse.in.net | URL |
| clie-zone.n1ghtridge.in.net | URL |
| 4jv9.gl1mmeroak.in.net | URL |
| looseoak.fablegrove.in.net | URL |
| moondev.digital | URL |
| y0l23ven.moondev.digital | URL |
| o4sis4-signal.gl1mmeroak.in.net | URL |
| hyper-r3agent.amber-drift.in.net | URL |
| vordraar8.amber-drift.in.net | URL |
| 064fc244c2aaf7e602cf53b725f0355df44bc4e13719fb5bd959efa09887586a | SHA256 |
| 0e7d340331a78e58772a263dbb58535023d93482030f971f162780c3f6ad2382 | SHA256 |
| a81867afe0cbbe4636adbf4744705991f6bf3e00b71887b751101f35c3ab4289 | SHA256 |
| ed130e3df72984c816fe23f9f61f0ae01478840d1227015df4e44685523abbd9 | SHA256 |
| f6c1d093b76a18ffbe8fcafd2e29402a2c9ddf51a1ee80ce218059a10b79edab | SHA256 |
Recomendaciones
- Mantenerse informados sobre nuevas técnicas implementadas en campañas de phishing.
- Evitar hacer click en anuncios o notificaciones que inviten a descargar o actualizar software.
- Evitar copiar y pegar texto/código desconocido.
- Habilitar la autenticación multifactorial.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto (NIST CSF, 2024).
- Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad (NIST CSF, 2024).
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
Referencias
- Hutchins, M. (2026, enero 20). ClearFake gets more evasive with new living off the land (Lotl) techniques. Expel. Recuperado el 27 de marzo de 2026, en: https://expel.com/blog/clearfake-new-lotl-techniques/
- Kathir, M. (2025, agosto 11). What is ClickFix Attack – How Hackers are Using it to Attack User Device With Malware. Cyber Security News. Recuperado el 27 de marzo de 2026, en: https://cybersecuritynews.com/clickfix-attack/
- Rajan, V., & Gould, T. (2026, enero 30). ClearFake: From Fake CAPTCHAs to Blockchain-Driven Payload Retrieval. DarkTrace. Recuperado el 27 de marzo de 2026, en: https://www.darktrace.com/blog/clearfake-from-fake-captchas-to-blockchain-driven-payload-retrieval
- Ravie Lakshmanan. (2025, marzo 19). ClearFake Infects 9,300 Sites, Uses Fake reCAPTCHA and Turnstile to Spread Info-Stealers. The Hacker News. Recuperado el 27 de marzo de 2026, en: http://thehackernews.com/2025/03/clearfake-infects-9300-sites-uses-fake.html
