¿Comprobaste que no eres un robot? Eso ahora podría significar que acabas de instalar un virus en tu equipo
Los hackers se han vuelto tan perezosos que piden a los usuarios que se hackeen a sí mismos.
Una nueva campaña maliciosa ha mostrado que la imaginación de los ciberdelincuentes sigue creciendo: ahora han aprendido a camuflar la infección como una verificación «No soy un robot», usando herramientas legítimas de Windows y componentes firmados por Microsoft. Como resultado la víctima misma inicia la cadena maliciosa, que de forma discreta conduce a la infección del equipo con el troyano espía Amatera.
El ataque comienza con una página CAPTCHA falsa, que imita la verificación estándar de «humano». Al usuario se le pide que pegue y ejecute manualmente un comando a través de la ventana Ejecutar de Windows. En esta etapa se usa el método ClickFix, por el cual se convence a la víctima de ejecutar comandos de PowerShell por sí misma. El usuario no sospecha que los comandos son maliciosos.
El comando pegado activa un script legítimo de Microsoft Application Virtualization llamado SyncAppvPublishingServer.vbs. Es un componente corporativo de Windows destinado a gestionar aplicaciones virtualizadas. El script se ejecuta mediante el proceso de confianza wscript.exe y actúa como intermediario para la ejecución de PowerShell, lo que permite enmascarar la actividad maliciosa como trabajo ordinario de las herramientas del sistema.
En la primera fase el sistema comprueba que el comando fue realmente ejecutado por una persona, que el orden de ejecución no se ha alterado y que los datos del portapapeles no han cambiado. Esto sirve para protegerse contra análisis automáticos en entornos sandbox. Si el entorno parece analítico, la ejecución simplemente queda colgada en una espera infinita, para agotar los recursos de las soluciones de seguridad.
Después, el código malicioso descarga datos de configuración desde un calendario público de Google, donde los parámetros están ocultos como valores codificados dentro de uno de los eventos. A continuación, mediante Windows Management Instrumentation (WMI) se crea un proceso PowerShell oculto de 32 bits, en el que se cargan y descifran varias cargas útiles directamente en memoria.
En la siguiente etapa los atacantes emplean esteganografía. El código PowerShell cifrado se esconde dentro de imágenes PNG alojadas en redes de entrega de contenido públicas (CDN). Esas imágenes se descargan mediante las interfaces de red estándar de la API de Windows; luego los datos se extraen utilizando la técnica de sustitución de los bits menos significativos (LSB), se descifran, se descomprimen con la utilidad GZip y se ejecutan sin escribir archivos en el disco.
La fase final descifra y ejecuta código shell nativo, que carga el infostealer Amatera. Tras la activación, el programa malicioso se conecta a una dirección IP codificada, obtiene su configuración y espera módulos adicionales que se envían mediante peticiones HTTP.
Según BlackPoint Cyber, Amatera es un infostealer típico capaz de robar datos de navegadores y credenciales de usuarios. Los especialistas señalan que se basa en el código del stealer ACR, se desarrolla activamente y se distribuye bajo el modelo «malware como servicio» (malware-as-a-service, MaaS). Según Proofpoint, cada nueva versión de Amatera se vuelve notablemente más compleja y tecnológicamente avanzada que la anterior.
Los expertos destacan que los operadores de Amatera ya emplearon ataques con el método ClickFix anteriormente, pero este es el primer caso documentado en el que en ese esquema se usa un script firmado de App-V de Microsoft, lo que dificulta significativamente la detección del ataque.
Como medidas de protección, los especialistas recomiendan restringir el acceso a la ventana Ejecutar mediante políticas de grupo, eliminar los componentes de App-V si no se utilizan, activar el registro avanzado de PowerShell y supervisar las conexiones de red en busca de discrepancias sospechosas entre direcciones IP y encabezados HTTP o SNI de TLS.