Imagínate que un grupo de expertos en seguridad descubre una nueva amenaza que se camufla con técnicas sorprendentes para burlar los sistemas de seguridad corporativos más avanzados. Esta vez, el enemigo no usa herramientas comunes ni ataques toscos, sino que aprovecha componentes legítimos del sistema operativo, todo para ejecutar un malware diseñado para robar datos valiosos sin levantar sospechas. Así es como el Amatera Stealer ingresa silenciosamente, poniendo en jaque la seguridad de muchas empresas.

La Trampa del CAPTCHA Falso: Un Engaño que Facilita el Asalto

El ataque comienza con la creación de páginas falsas que parecen pedir una verificación humana a través de un CAPTCHA. Sin embargo, detrás de esta apariencia inocente, se esconde una trampa ingeniosa. El objetivo es engañar al personal para que introduzca un comando manual dentro del cuadro de Ejecutar de Windows. Este simple acto es el desencadenante para activar el Amatera Stealer, sin que los sistemas de protección corporativos lo perciban.

Uso Astuto del Script SyncAppvPublishingServer.vbs: La Entrada Oculta

Aquí es donde la sofisticación realmente destaca. Los atacantes explotan un script firmado por Microsoft llamado SyncAppvPublishingServer.vbs, que forma parte de la infraestructura App-V usada para manejar aplicaciones virtualizadas. Más que un error, este script se convierte en un LOLBin — un archivo legítimo usado para ejecutar código malicioso, en este caso para canalizar comandos de PowerShell sin levantar alertas.

Esta técnica solo funciona en ciertos entornos específicos: Windows 10 o 11 en ediciones Enterprise o Educación y algunos servidores modernos con App-V activado. Las versiones Home, Pro o entornos de sandbox están a salvo de este tipo de ataque, lo que indica que los atacantes buscan objetivos estratégicos y bien definidos.

¿Cómo se Despliega el Ataque? Un Proceso Meticuloso

Todo sigue un camino detallado y calculado. Primero, wscript.exe se encarga de lanzar el script SyncAppvPublishingServer.vbs, que reside en App-V. Este script baja un cargador directamente a memoria. El primer paso del cargador es consultar un archivo público en Google Calendar (.ics) que funciona como un canal secreto para recibir instrucciones adicionales.

Después, el cargador descarga una imagen PNG que contiene un payload comprimido y encriptado de PowerShell. Esta imagen no parece sospechosa, pero dentro lleva la carga maliciosa que finalmente ejecuta en memoria el Amatera Stealer. Este malware se especializa en robar información del navegador y credenciales, un botín valioso para cualquier atacante.

Discreción y Evasión: El Secreto del Éxito del Ataque

Lo que diferencia este método de otros ataques convencionales es su nivel excepcional de sigilo. Los atacantes combinan la legitimidad de componentes firmados por Microsoft con acciones que simulan comportamiento humano, uso de servicios externos y ejecución directa en memoria. Todo eso hace que este malware sea extremadamente difícil de detectar para los sistemas tradicionales que buscan patrones habituales de ataques.

Además, aunque esta técnica está relacionada con campañas identificadas como ClickFix, es la primera vez que se usa App-V de esta manera, lo que marca un precedente importante en el mundo de la ciberseguridad.

Conclusion

El descubrimiento de esta amenaza es una llamada de atención para reforzar la vigilancia en los sistemas empresariales, especialmente en aquellos con configuraciones específicas como App-V activo. La combinación de ingeniería social, técnicas avanzadas y el uso inteligente de herramientas legítimas convierte al Amatera Stealer en un adversario formidable. Mantente informado, actualiza tus sistemas y refuerza las medidas de seguridad para proteger tu entorno digital de esta y futuras amenazas.

¿Quieres saber más sobre cómo proteger tus sistemas empresariales? ¡No dudes en explorar soluciones avanzadas y mantener siempre tus defensas activas!