Investigadores de BlackPoint Cyber han documentado una nueva campaña de malware que combina ingeniería social tipo ClickFix, una CAPTCHA falsa y componentes legítimos de Microsoft Application Virtualization (App‑V) para distribuir de forma sigilosa el infostealer Amatera. La operación ilustra un enfoque de living off the land, es decir, el uso intensivo de herramientas de Windows y servicios en la nube ya confiados por las organizaciones para evadir controles de seguridad tradicionales.
Evolución de ClickFix: de comandos PowerShell a una falsa CAPTCHA
Las ataques ClickFix se basan en persuadir al usuario para que ejecute manualmente un comando malicioso. En variantes anteriores, la víctima era redirigida a una página con un supuesto error crítico del sistema o del navegador y se le indicaba copiar y pegar un comando de PowerShell, desencadenando ella misma la infección y dificultando su detección por soluciones de prevención de intrusiones.
En la versión analizada, los atacantes refinan la técnica con una página de CAPTCHA fraudulenta. En lugar del clásico reto “no soy un robot”, el sitio indica al usuario que debe “verificar el acceso” copiando una cadena e introduciéndola en el cuadro de Ejecutar de Windows (Win+R). Esta puesta en escena aumenta la credibilidad y reduce la suspicacia, incluso en usuarios con cierto nivel de formación en seguridad. Aunque ClickFix se asocia sobre todo a Windows, ya se han observado variantes orientadas a macOS y Linux, lo que demuestra la versatilidad del vector de ingeniería social.
Abuso de App‑V, wscript.exe y técnicas avanzadas anti‑sandbox
El comando que la víctima introduce en Win+R aprovecha un script legítimo de App‑V, SyncAppvPublishingServer.vbs, diseñado originalmente para publicar y gestionar aplicaciones virtualizadas en entornos corporativos. Este script se ejecuta a través de wscript.exe, el intérprete de scripts de Windows, que a su vez lanza instrucciones de PowerShell. De este modo, la cadena de infección se oculta tras herramientas firmadas por Microsoft, complicando la correlación de eventos en soluciones SIEM y EDR.
En sus primeras fases, el malware realiza comprobaciones del entorno y del comportamiento del usuario: verifica que la ejecución ha sido realmente manual, revisa el orden de las acciones y analiza el contenido del portapapeles. Si detecta indicios de ejecución en sandbox, análisis automatizado o manipulación del comando, entra en un estado de espera indefinida. Esta táctica anti‑sandbox, cada vez más común en campañas avanzadas, degrada la eficacia del análisis dinámico en entornos de laboratorio.
Google Calendar como canal de configuración y PowerShell sin archivos
Tras superar los controles iniciales, la amenaza no consulta un servidor de mando y control (C2) clásico, sino que descarga su configuración desde un calendario público de Google Calendar. Los parámetros, codificados en base64 dentro de un evento, incluyen información para las siguientes etapas de la campaña. El uso de un servicio cloud ampliamente confiado dificulta el bloqueo por listas negras de dominios y permite que el tráfico malicioso se mezcle con comunicaciones legítimas.
Posteriormente, los atacantes crean mediante WMI (Windows Management Instrumentation) un proceso oculto de PowerShell en 32 bits, encargado de cargar múltiples payloads directamente en memoria, siguiendo un enfoque fileless. Al no escribir ejecutables visibles en disco, se reduce de forma significativa la eficacia de los antivirus basados en firmas y se traslada la defensa hacia el análisis de comportamiento, el control de scripts y la monitorización de WMI y PowerShell.
Esteganografía en PNG y despliegue del infostealer Amatera
La cadena de ataque incorpora además esteganografía en imágenes PNG. Un payload adicional de PowerShell se oculta dentro de ficheros de imagen alojados en CDNs públicos, a los que se accede mediante la API WinINet, generando tráfico HTTP aparentemente legítimo. La extracción de datos se lleva a cabo usando esteganografía de Least Significant Bit (LSB); a continuación, el contenido se descifra, se descomprime con GZip y se ejecuta únicamente en memoria.
En la fase final, PowerShell descifra y lanza su propio shellcode, que instala el infostealer Amatera en el sistema comprometido. Una vez activo, el malware se conecta a una dirección IP codificada de forma estática, obtiene un mapa de endpoints disponibles y espera nuevos módulos binarios a través de peticiones HTTP POST. Esta arquitectura modular facilita la adaptación de la campaña, permitiendo cargar solo las funcionalidades necesarias (robo de credenciales, exfiltración de cookies, recopilación de datos del sistema, etc.).
Amatera como malware-as-a-service y modelo de amenaza
Diversos análisis, como los de Proofpoint, describen Amatera como un infostealer basado en el código del estilo ACR y ofrecido bajo el modelo malware‑as‑a‑service (MaaS). Este tipo de servicios proporciona paneles web, infraestructura C2 y soporte técnico a operadores menos especializados, reduciendo la barrera de entrada al cibercrimen y acelerando la difusión de nuevas familias de malware orientadas al robo de credenciales y datos de navegadores en entornos corporativos y domésticos.
Riesgos para las organizaciones y medidas de protección recomendadas
La peligrosidad de esta campaña ClickFix con Amatera reside en la combinación de varios elementos: ingeniería social dirigida al usuario final, abuso de componentes legítimos de Windows (App‑V, wscript.exe, WMI, PowerShell), uso de servicios cloud y CDN para configuración y entrega de payloads, y técnicas avanzadas de esteganografía y ejecución fileless. Informes de referencia como el Verizon Data Breach Investigations Report señalan que la ingeniería social participa en más del 70 % de los incidentes exitosos, lo que refuerza la relevancia de este tipo de cadenas de ataque.
Entre las medidas de mitigación más eficaces destacan: endurecer las políticas de PowerShell (por ejemplo, Constrained Language Mode y Script Block Logging), supervisar y restringir el uso de scripts de App‑V y de wscript.exe, registrar y limitar la creación de procesos ocultos mediante WMI e implantar filtrado de tráfico que identifique accesos anómalos a recursos cloud poco habituales. Es igualmente crítico desplegar soluciones EDR con capacidades de detección de living off the land (LOLbins) y de comportamiento de scripts.
La componente humana sigue siendo el eslabón más explotado. Programas continuos de concienciación en ciberseguridad deben enseñar a los empleados a desconfiar de supuestas CAPTCHA que exijan copiar comandos, de pantallas de error que pidan usar Win+R o PowerShell y de cualquier instrucción que requiera ejecutar código manualmente. Reducir la probabilidad de que un usuario coopere con el atacante es, en este escenario, tan importante como cualquier tecnología de defensa. Invertir en formación, monitoreo conductual y control estricto de la infraestructura de scripts permite elevar de forma significativa el nivel de resiliencia frente a campañas complejas como la que distribuye el infostealer Amatera.
