VOLVER A NOTICIAS
Última Hora

Campaña ClickFix Explotia Windows App-V para Desplegar el Infostealer Amatera

4 min de lecturaFuente: BleepingComputer

Investigadores descubren una campaña maliciosa que combina ClickFix, CAPTCHA falsos y scripts firmados de Microsoft App-V para distribuir el infostealer Amatera en sistemas Windows.

Cadena de Ataque ClickFix Aprovecha Windows App-V para Entregar el Infostealer Amatera

Investigadores en ciberseguridad han descubierto una nueva campaña maliciosa que combina la técnica ClickFix con prompts falsos de CAPTCHA y un script firmado de Microsoft Application Virtualization (App-V) para desplegar el infostealer Amatera en sistemas Windows. Este ataque destaca tácticas en evolución para eludir controles de seguridad y evadir la detección.

Resumen del Ataque y Detalles Técnicos

La campaña comienza cuando los usuarios encuentran sitios web maliciosos o malvertising que activa un prompt falso de verificación CAPTCHA. Cuando las víctimas interactúan con el CAPTCHA, se inicia la cadena de ataque, aprovechando ClickFix, un método que abusa de la inyección de HTML para manipular clics de usuarios y ejecutar scripts maliciosos.

Los actores de amenazas explotan Microsoft App-V, una tecnología legítima de virtualización de aplicaciones, mediante el uso de un script firmado de App-V para ejecutar comandos arbitrarios. Esta técnica permite a los atacantes eludir restricciones de seguridad, ya que los scripts de App-V son inherentemente confiables para los sistemas Windows. La carga útil final, Amatera, es un infostealer diseñado para exfiltrar datos sensibles, incluyendo credenciales, cookies de navegadores e información de carteras de criptomonedas.

Los componentes técnicos clave del ataque incluyen:

  • Prompts falsos de CAPTCHA para engañar a los usuarios y iniciar el ataque.
  • Inyección de HTML ClickFix para manipular interacciones del usuario.
  • Scripts firmados de App-V para ejecutar comandos maliciosos con confianza elevada.
  • Infostealer Amatera para la exfiltración de datos y persistencia.

Impacto y Evaluación de Riesgos

El infostealer Amatera representa riesgos significativos tanto para individuos como para organizaciones. Una vez desplegado, el malware puede:

  • Recolectar credenciales de inicio de sesión, cookies de navegadores y datos de autocompletado.
  • Robar información de carteras de criptomonedas y otros detalles financieros.
  • Establecer persistencia en sistemas infectados, permitiendo el robo de datos a largo plazo.

El uso de scripts firmados de App-V complica la detección, ya que estos scripts suelen estar en listas blancas de soluciones de seguridad. Esta campaña subraya la necesidad de un monitoreo robusto de herramientas de virtualización de aplicaciones y ejecuciones de scripts iniciadas por el usuario.

Mitigación y Recomendaciones

Los equipos de seguridad deben implementar las siguientes medidas para mitigar los riesgos asociados con esta campaña:

  1. Monitorear y Restringir la Ejecución de Scripts de App-V

    • Auditar y restringir la ejecución de scripts firmados de App-V solo a fuentes confiables.
    • Implementar listas blancas de aplicaciones para prevenir la ejecución no autorizada de scripts.

  2. Mejorar la Concienciación del Usuario

    • Capacitar a los empleados para reconocer prompts falsos de CAPTCHA e interacciones web sospechosas.
    • Fomentar la notificación de ventanas emergentes o solicitudes de verificación inusuales.

  3. Desplegar Detección Avanzada de Amenazas

    • Utilizar soluciones de detección y respuesta en endpoints (EDR) para monitorear la ejecución anómala de scripts.
    • Implementar análisis de comportamiento para detectar actividad de infostealers, como la exfiltración no autorizada de datos.

  4. Actualizar y Parchear Sistemas

    • Asegurar que todos los sistemas Windows y herramientas de virtualización estén actualizados con los últimos parches de seguridad.
    • Deshabilitar o restringir App-V si no es necesario para las operaciones comerciales.

  5. Protecciones a Nivel de Red

    • Bloquear dominios maliciosos conocidos asociados con Amatera y otros infostealers similares.
    • Implementar filtrado web para prevenir el acceso a sitios de malvertising y phishing.

Conclusión

Esta campaña demuestra la sofisticación de las amenazas cibernéticas modernas, combinando ingeniería social, abuso de herramientas legítimas y despliegue de malware en una sola cadena de ataque. Las organizaciones deben adoptar un enfoque de seguridad multicapa para detectar y mitigar estas amenazas de manera efectiva. La vigilancia, la educación del usuario y el monitoreo proactivo son críticos para defenderse contra estas tácticas en evolución.

Compartir

TwitterLinkedIn