Los investigadores de ciberseguridad han descubierto campañas de malware que utilizan la ahora extendida táctica de ingeniería social ClickFix para implementar Amatera Stealer y NetSupport RAT.
La actividad observada este mes es rastreada por eSentire bajo el nombre EVALUACIÓN.
Amatera se descubrió por primera vez en junio de 2025 y se considera una evolución del ladrón ACR (abreviatura de “AcridRain”), que estuvo disponible bajo el modelo Malware-as-a-Service (MaaS) hasta que el malware dejó de venderse a mediados de julio de 2024. Amatera está disponible a través de suscripciones que van desde $199 por mes hasta $1499 por un año.
“Amatera proporciona a los actores de amenazas capacidades integrales de exfiltración de datos dirigidas a billeteras criptográficas, navegadores, aplicaciones de mensajería, clientes FTP y servicios de correo electrónico”, dijo el proveedor canadiense de ciberseguridad. “En particular, Amatera emplea técnicas de derivación avanzadas como WoW64 SysCalls para evitar los mecanismos de conexión del modo de usuario comúnmente utilizados por sandboxes, soluciones antivirus y productos EDR”.
Como es común con los ataques ClickFix, se engaña a los usuarios para que ejecuten comandos maliciosos a través del cuadro de diálogo Ejecutar de Windows para realizar una verificación de verificación reCAPTCHA en páginas de phishing falsas. El comando inicia un proceso de varios pasos que implica el uso del binario mshta.exe para iniciar un script de PowerShell que es responsable de descargar un archivo .NET descargado de MediaFire, un servicio de alojamiento de archivos.
La carga útil es la DLL Amatera Stealer empaquetada con PureCrypter, un programa de carga y cifrado multifuncional basado en C# que también es promocionado como una oferta MaaS por un actor de amenazas llamado PureCoder. La DLL se inyecta en el proceso “MSBuild.exe”, después de lo cual el ladrón recopila datos confidenciales y se comunica con un servidor externo para ejecutar un comando de PowerShell para recuperar y ejecutar NetSupport RAT.
“Lo que es particularmente notable acerca del PowerShell invocado por Amatera es una verificación para determinar si la computadora de la víctima es parte de un dominio o tiene archivos de valor potencial, como carteras criptográficas”, dijo eSentire. “Si no se encuentra ninguno, NetSupport no se descargará”.
El desarrollo viene acompañado del descubrimiento de varias campañas de phishing que difunden una amplia gama de familias de malware:
- Correos electrónicos que contienen archivos adjuntos de secuencias de comandos de Visual Basic disfrazados de facturas que se entregarán a XWorm mediante una secuencia de comandos por lotes que invoca un cargador de PowerShell.
- Sitios web comprometidos que contienen JavaScript malicioso que redirige a los visitantes del sitio web a páginas ClickFix falsas que imitan las comprobaciones de Cloudflare Turnstile para proporcionar NetSupport RAT como parte de una campaña en curso con nombre en código SmartApeSG (también conocida como HANEYMANEY y ZPHP).
- Usar sitios web falsos de Booking.com para mostrar comprobaciones CAPTCHA falsas que utilizan señuelos ClickFix para ejecutar un comando PowerShell malicioso que, cuando se ejecuta a través del cuadro de diálogo Ejecutar de Windows, elimina un ladrón de credenciales
- Correos electrónicos que falsifican notificaciones internas de “entrega de correo electrónico” y afirman falsamente haber bloqueado mensajes importantes relacionados con facturas pendientes, entregas de paquetes y solicitudes de cotización (RFQ) para engañar a los destinatarios para que hagan clic en un enlace que recopila credenciales de inicio de sesión con el pretexto de mover los mensajes a la bandeja de entrada.
- Ataques que utilizan kits de phishing llamados Cephas (que apareció por primera vez en agosto de 2024) y Tycoon 2FA para llevar a los usuarios a páginas de inicio de sesión maliciosas para robar credenciales.
“Lo que hace que Cephas sea notable es que implementa una técnica de ofuscación especial e inusual”, dijo Barracuda en un análisis publicado la semana pasada. “El kit ofusca su código al crear caracteres invisibles aleatorios en el código fuente que lo ayudan a eludir los escáneres anti-phishing y evitan que las reglas YARA basadas en firmas coincidan con los métodos de phishing exactos”.
About The Author
