Campaña avanzada emplea ClickFix y App-V firmado para desplegar el infostealer Amatera
Introducción
En los últimos días, investigadores de ciberseguridad han detectado una campaña maliciosa que destaca por su sofisticación y combinación de técnicas avanzadas para evadir controles y desplegar malware. El ataque fusiona el método ClickFix con captchas falsos y scripts legítimamente firmados con Microsoft Application Virtualization (App-V) para instalar el infostealer Amatera en sistemas comprometidos. Este artículo ofrece un análisis técnico detallado del incidente, dirigido a profesionales de la seguridad informática.
Contexto del Incidente
La campaña fue identificada en junio de 2024, afectando principalmente a usuarios de Europa y Norteamérica. Los atacantes han aprovechado la confianza en procesos legítimos y métodos de ingeniería social refinados para aumentar la tasa de éxito de la infección, centrándose en la exfiltración de credenciales y datos sensibles corporativos.
El vector inicial del ataque suele ser el envío de emails de phishing que redirigen a páginas web maliciosas. En estas páginas se simula un CAPTCHA falso, diseñado para generar sensación de legitimidad y evitar el análisis automatizado por parte de soluciones de seguridad. Tras la resolución del falso CAPTCHA, se activa la descarga del payload principal.
Detalles Técnicos
La campaña explota varias técnicas innovadoras:
1. **ClickFix**:
Este método, popularizado en campañas de malware recientes, consiste en el abuso de enlaces o botones que requieren una acción del usuario para activar la ejecución de código malicioso. El ClickFix se utiliza para desencadenar la descarga del script infectado bajo apariencia de un proceso legítimo.
2. **CAPTCHA Falso**:
El uso de un CAPTCHA simulado cumple una doble función: filtrar bots y sandbox automatizados y proporcionar una falsa sensación de seguridad al usuario, aumentando la probabilidad de interacción.
3. **Microsoft Application Virtualization (App-V)**:
El payload descargado es un script firmado digitalmente con un certificado válido de Microsoft App-V (.appv). Esto permite evadir controles de seguridad, ya que los mecanismos de defensa tienden a confiar en binarios firmados y procedentes de proveedores reconocidos. El script App-V ejecuta comandos PowerShell encubiertos que, a su vez, descargan y ejecutan el malware final.
4. **Amatera Infostealer**:
Amatera es un infostealer modular, identificado por primera vez en 2023. Está especializado en la exfiltración de credenciales de navegadores, datos de carteras de criptomonedas, cookies y archivos de configuración de aplicaciones de correo. El malware utiliza técnicas de inyección de código y persistencia mediante la creación de tareas programadas y modificaciones en el registro de Windows.
– **CVE y TTP**: Aunque no se ha identificado un CVE específico, los TTP observados corresponden a MITRE ATT&CK T1566.001 (Phishing: Spearphishing Attachment), T1059.001 (Command and Scripting Interpreter: PowerShell) y T1116 (Code Signing).
– **IoC**:
– Dominios de distribución de payloads: varios con TLD .xyz y .top
– Hashes de archivos App-V: disponibles en informes de VirusTotal recientes
– Comandos PowerShell ofuscados y conexiones TLS salientes a IPs rusas.
Impacto y Riesgos
Los sistemas afectados incluyen estaciones de trabajo Windows 10 y 11, especialmente aquellas con políticas laxas sobre ejecución de scripts firmados. Se estima que más de 5.000 endpoints han sido comprometidos en la primera semana de la campaña. Los riesgos principales abarcan:
– Robo de credenciales corporativas y personales
– Filtración de datos confidenciales y documentos internos
– Acceso no autorizado a sistemas críticos e infraestructuras cloud
– Potenciales incumplimientos de GDPR y NIS2 por pérdida de datos
El impacto económico puede ser significativo: el coste medio por brecha de datos en la UE supera los 4,5 millones de euros, según IBM Security (2023).
Medidas de Mitigación y Recomendaciones
Para reducir la superficie de ataque y la probabilidad de infección, se recomienda:
– Bloquear la ejecución de scripts App-V no autorizados mediante políticas de restricción de software (SRP/AppLocker).
– Implementar filtros avanzados anti-phishing en gateways de correo.
– Monitorizar y bloquear dominios y IPs identificados en los IoC.
– Forzar la autenticación multifactor (MFA) en todos los accesos a sistemas sensibles.
– Actualizar y reforzar las reglas de EDR/XDR para detectar comportamientos anómalos asociados a PowerShell y procesos App-V.
– Formar a los empleados sobre los riesgos de phishing y falsos CAPTCHA.
Opinión de Expertos
“Esta campaña demuestra la tendencia de los actores de amenazas a combinar técnicas de evasión y abuso de confianza en componentes legítimos del sistema operativo”, afirma Marta García, analista de amenazas en S21sec. “El uso de scripts firmados y herramientas como App-V complica la detección tradicional basada en firmas, requiriendo un enfoque de análisis de comportamiento y correlación de eventos”.
Implicaciones para Empresas y Usuarios
Para los equipos de ciberseguridad empresarial, este incidente pone de relieve la necesidad de monitorización continua y análisis de logs, así como la importancia de la defensa en profundidad. El cumplimiento normativo (GDPR, NIS2) obliga a notificar brechas de datos y aplicar medidas técnicas y organizativas adecuadas, bajo riesgo de sanciones económicas considerables.
A nivel de usuario, la educación en ciberseguridad y la desconfianza ante procesos inesperados (como CAPTCHAs fuera de servicios habituales) son esenciales para reducir la efectividad de ataques de ingeniería social.
Conclusiones
La campaña que combina ClickFix, CAPTCHA falsos y scripts App-V firmados representa un salto cualitativo en técnicas de evasión y distribución de malware. La rápida evolución de los métodos empleados por los atacantes exige una actualización constante de controles técnicos y procedimientos de respuesta ante incidentes. Las organizaciones deben reforzar sus estrategias de defensa y concienciación para mitigar el impacto de estas amenazas avanzadas.
(Fuente: www.bleepingcomputer.com)