Los investigadores de ciberseguridad han detallado una nueva campaña que combina CAPTCHA falsos estilo ClickFix con scripts firmados de virtualización de aplicaciones (App-V) de Microsoft para distribuir un ladrón de información llamado Amatera.
«En lugar de invocar directamente PowerShell, los atacantes utilizan este script para controlar cómo comienza la ejecución, evitando rutas de ejecución más comunes y fácilmente reconocibles», dijeron los investigadores de Blackpoint Jack Patrick y Sam Decker en un informe publicado la semana pasada.
La idea es convertir los scripts de App-V en archivos binarios que viven de la tierra (LotL) que representan la ejecución de PowerShell a través de componentes confiables de Microsoft, ocultando la actividad maliciosa.
El ataque comienza con un mensaje de verificación CAPTCHA falso diseñado para engañar a los usuarios para que peguen y ejecuten comandos maliciosos en el cuadro de diálogo Ejecutar de Windows. Sin embargo, aquí es donde este ataque difiere del ataque ClickFix tradicional.
En lugar de invocar directamente PowerShell, el comando especificado explota un script de Visual Basic firmado asociado con App-V, «SyncAppvPublishingServer.vbs», que utiliza «wscript.exe» para recuperar y ejecutar un cargador en memoria desde un servidor externo.
Tenga en cuenta que el uso indebido de «SyncAppvPublishingServer.vbs» no es nuevo. En 2022, se observó que dos actores de amenazas diferentes de China y Corea del Norte, identificados como DarkHotel y BlueNoroff, aprovechaban el exploit LOLBin para ejecutar de forma encubierta scripts de PowerShell. Sin embargo, esta es la primera vez que esto se observa en un ataque ClickFix.
MITRE señala que en el marco de ATT&CK, «los adversarios podrían explotar SyncAppvPublishingServer.vbs para eludir las restricciones de ejecución de PowerShell y ‘vivir de la tierra’ para evadir las defensas». «La ejecución proxy puede servir como una alternativa confiable/firmada a la invocación directa de ‘powershell.exe'».
El uso de scripts de App-V también es importante. Esto se debe a que las soluciones de virtualización solo están integradas en las ediciones Enterprise y Education de Windows 10 y Windows 11, y en las últimas versiones de Windows Server. No disponible para instalaciones de Windows Home o Pro.
En los sistemas operativos Windows donde App-V no está presente o habilitado, la ejecución del comando fallará por completo. Esto también indica que es probable que los sistemas de gestión empresarial sean el objetivo principal de la campaña.
El cargador ofuscado realiza comprobaciones para garantizar que no se esté ejecutando en un entorno aislado y recupera datos de configuración de archivos públicos de Google Calendar (ICS), convirtiendo efectivamente un servicio de terceros confiable en un solucionador de caídas.
«Externalizar la configuración de esta manera permite a los atacantes rotar rápidamente la infraestructura o ajustar los parámetros de entrega sin tener que volver a implementar etapas anteriores de la cadena, lo que reduce la fricción operativa y aumenta la longevidad del vector de infección inicial», señalaron los investigadores.
El análisis de un archivo de eventos de calendario genera etapas de carga adicionales, incluido un script de PowerShell que actúa como un cargador intermedio para ejecutar la siguiente etapa, otro script de PowerShell, directamente en la memoria. Este paso recupera imágenes PNG de dominios como «gcdnb.pbrd(.)co» y «iili(.)io» a través de la API WinINet con cargas útiles de PowerShell ocultas, cifradas y comprimidas.
El script resultante se descifra, se almacena en GZiping en la memoria, se ejecuta utilizando Invoke-Expression y, en última instancia, se crea un cargador de código shell diseñado para iniciar Amatera Stealer.
«Lo que hace que esta campaña sea interesante no es un solo truco, sino el cuidado con el que está todo encadenado», concluyó Blackpoint. «Desde requerir la interacción manual por parte del usuario hasta validar el estado del portapapeles y recuperar la configuración en vivo de un servicio externo confiable, cada paso fortalece al anterior».
«Como resultado, el flujo de ejecución sólo continuará si se desarrolla (casi) exactamente como espera el atacante, lo que hace que tanto la detonación automatizada como el análisis casual sean significativamente más difíciles».
Evolución de ClickFix: JackFix, CrashFix, GlitchFix
La divulgación se produce cuando ClickFix se convirtió en uno de los métodos de acceso inicial más utilizados el año pasado, representando el 47% de los ataques observados por Microsoft.
Una campaña reciente de ClickFix se dirige a los creadores de contenido de redes sociales, afirmando que son elegibles para una insignia verificada gratuita y les indica en un video que copien un token de autenticación de una cookie del navegador en un formulario falso para completar un supuesto proceso de autenticación. El video incrustado les dice a los usuarios que «no cierren sesión durante al menos 24 horas» para mantener válidos sus tokens de autenticación.
Según Hunt.io, la campaña ha estado activa desde al menos septiembre de 2025 y se estima que utilizó 115 páginas web y ocho puntos finales expuestos a lo largo de la cadena de ataque. Los objetivos principales de esta actividad incluyen creadores, páginas monetizadas y empresas que buscan verificación, con el objetivo final de facilitar la apropiación de cuentas después del robo de tokens.
«Defenderse de la tecnología ClickFix es excepcionalmente difícil porque la cadena de ataque se basa casi exclusivamente en acciones legítimas de los usuarios y la explotación de herramientas confiables del sistema», dijo Martin Zugec, director de soluciones técnicas de Bitdefender, en un informe el mes pasado. «A diferencia del malware tradicional, ClickFix convierte al usuario en el primer punto de acceso, lo que hace que el ataque parezca benigno desde la perspectiva de la defensa del endpoint».
ClickFix también evoluciona constantemente y aprovecha variantes como JackFix y CrashFix para engañar a las víctimas para que infecten sus máquinas. Los operadores utilizan varios métodos para intentar engañar a los objetivos para que ejecuten comandos, pero la creciente popularidad de las técnicas de ingeniería social ha allanado el camino para los constructores ClickFix, que se anuncian en foros de piratas informáticos por entre 200 y 1.500 dólares al mes.
Un entrante reciente en este panorama de amenazas es ErrTraffic. ErrTraffic es un sistema de distribución de tráfico (TDS) diseñado específicamente para campañas como ClickFix para romper sitios web comprometidos a los que se les ha inyectado JavaScript malicioso y sugerir soluciones que abordan problemas inexistentes. La tecnología tiene el nombre en código GlitchFix.
El malware como servicio (MaaS) admite tres modos de distribución de archivos diferentes que utilizan alertas falsas de actualización del navegador, cuadros de diálogo falsos de «fuentes requeridas del sistema» y errores falsos de falta de fuentes del sistema para desencadenar la ejecución de comandos maliciosos. Se bloquea explícitamente la ejecución de ErrTraffic en máquinas ubicadas en países de la Comunidad de Estados Independientes (CEI).
«ErrTraffic no sólo muestra mensajes de actualización falsos, sino que también destruye activamente la página subyacente para hacer creer a las víctimas que algo anda realmente mal», dijo Censys. «También aplica transformaciones CSS que hacen que todo parezca roto».
ClickFix también ha sido utilizado por los atacantes detrás de la campaña ClearFake. Se sabe que esta campaña infecta sitios con señuelos falsos de actualización del navegador web en WordPress comprometido y distribuye malware. El uso de ClickFix por parte de ClearFake se registró por primera vez en mayo de 2024, aprovechando un desafío CAPTCHA para entregar Emmenhtal Loader (también conocido como PEAKLIGHT) y luego eliminando Lumma Stealer.
Esta cadena de ataque también aprovecha otra técnica conocida llamada EtherHiding, que utiliza un contrato inteligente en BNB Smart Chain (BSC) de Binance para obtener la siguiente etapa del código JavaScript y, en última instancia, inyecta un ClickFix CAPTCHA falso obtenido de otro contrato inteligente en la página web. Al mismo tiempo, la etapa final evita la reinfección de víctimas ya infectadas.
De manera similar al ataque Amatera Stealer, el comando ClickFix copiado en el portapapeles explota ‘SyncAppvPublishingServer.vbs’ para obtener la carga útil final alojada en jsDelivr Content Delivery Network (CDN). Según el análisis de Expel de la campaña ClearFake, es posible que 147.521 sistemas hayan sido infectados desde finales de agosto de 2025.
«Uno de los muchos factores que utilizan los productos de seguridad para determinar si una acción es maliciosa es si la realiza una aplicación confiable», dijo el investigador de seguridad Marcus Hutchins. «En este caso, ‘SyncAppvPublishingServer.vbs’ es un componente predeterminado de Windows, y sólo TrustedInstaller (una cuenta de sistema altamente privilegiada utilizada internamente por el sistema operativo) puede modificar el archivo. Por lo tanto, el archivo y su comportamiento por sí solos no suelen ser sospechosos».
«Es poco probable que una organización o EDR bloquee completamente SyncAppvPublishingServer.vbs para que no inicie PowerShell en modo oculto, ya que esto inutilizaría el componente para el propósito previsto. Como resultado, un atacante podría explotar el error de inyección de línea de comando en SyncAppvPublishingServer.vbs para ejecutar código arbitrario a través de un componente confiable del sistema».
Expel también caracteriza esta campaña como altamente sofisticada y altamente evasiva debido a su dependencia de blockchain y CDN comunes, así como el uso de la ejecución de código PowerShell en memoria para evitar la comunicación con infraestructura que no es un servicio legítimo.
Censys describe el ecosistema CAPTCHA falso y generalizado como «un patrón de explotación fragmentado y que cambia rápidamente que utiliza una infraestructura web confiable como superficie de entrega», con desafíos estilo Cloudflare que actúan como una transferencia a comandos PowerShell, scripts VB, ejecución de instaladores MSI mediante portapapeles e incluso marcos nativos del navegador como Matrix Push C2.
«Esto es consistente con un cambio más amplio hacia la vida fuera de la web, que incluye interfaces con temas de seguridad, flujos de trabajo sancionados por plataformas y la reutilización sistemática del comportamiento condicionado del usuario para entregar malware», dijo la empresa de gestión de superficies de ataque. «Un atacante no necesita comprometer un servicio confiable; hereda la confianza al operar dentro de los flujos de trabajo de validación y navegador familiares que los usuarios y las herramientas están capacitados para aceptar».
Source link
