El nuevo malware Mocha Manakin implementa NodeInitRAT mediante un ataque Clickfix
La firma de investigación de ciberseguridad Red Canary ha identificado una nueva y preocupante ciberamenaza, denominada Mocha Manakin. Detectada por primera vez en enero de 2025, esta amenaza combina de forma única la ingeniería social para engañar a los usuarios con software malicioso especialmente diseñado.
Mocha Manakin utiliza una táctica engañosa llamada pegar y ejecutar (también conocida como Clickfix o fakeCAPTCHA ). Este método engaña a los usuarios para que copien y ejecuten comandos dañinos sin saberlo, a menudo disfrazados como pasos para corregir el acceso a un documento o demostrar que son humanos.
Estas instrucciones falsas eluden los controles de seguridad habituales, lo que facilita que el script malicioso descargue más programas dañinos en el equipo de la víctima. Desde agosto de 2024, Red Canary ha experimentado un aumento de los ataques de pegar y ejecutar debido a su eficacia para engañar a los usuarios.
Según la publicación técnica del blog de la compañía, lo que distingue a Mocha Manakin es el programa malicioso personalizado que distribuye: una puerta trasera basada en NodeJS llamada NodeInitRAT. Una vez que el usuario cae en la trampa de pegar y ejecutar, se ejecuta un comando de PowerShell para descargar un archivo .zip, que luego se guarda en la carpeta temporal del usuario, generalmente C:\Users\ .
Este archivo .zip contiene un programa node.exe legítimo. PowerShell lo utiliza para ejecutar el código malicioso NodeInitRAT, pasándolo directamente por la línea de comandos.
Una vez instalado, NodeInitRAT puede recopilar en secreto información confidencial de la red, ejecutar cualquier comando que se le dé e implementar software más dañino. Esta puerta trasera personalizada se comunica con sus controladores a través de internet, a menudo utilizando túneles legítimos de Cloudflare para ocultar su actividad.
Hasta mayo de 2025, Red Canary no ha detectado directamente que Mocha Manakin conduzca a ransomware. Sin embargo, basándose en sus capacidades y en los vínculos con la actividad del ransomware Interlock observada por Sekoia.io , Red Canary cree con cierta certeza que las infecciones ininterrumpidas de Mocha Manakin podrían resultar en ataques de ransomware. Esta conexión es preocupante y pone de relieve el grave potencial de cifrado de datos y exigencias financieras.
Red Canary recomienda a las organizaciones que capaciten a su personal sobre las tácticas de copiar y pegar, enseñándoles a no seguir instrucciones inesperadas que les piden copiar y pegar comandos en su sistema. Monitorear comportamientos inusuales en el equipo también es crucial. Si se encuentra NodeInitRAT, detenga inmediatamente los procesos node.exe activos que ejecutan el malware. El código dañino también podría estar en archivos ocultos (como los que se encuentran en AppData\Roaming ) o en entradas del Registro de Windows, que deben eliminarse para evitar que el malware se vuelva a ejecutar.
Para la defensa de la red, bloquear la comunicación con dominios dañinos conocidos que utiliza NodeInitRAT puede impedir que se conecte con sus controladores. Los equipos técnicos también pueden configurar reglas de detección para detectar comandos de PowerShell que usan invoke-expression e invoke-restmethod , signos típicos de la infección inicial de Mocha Manakin. Al mantenerse alerta e implementar estas medidas de protección, las organizaciones pueden reducir significativamente el riesgo ante esta creciente amenaza.
HackRead
