Los investigadores de ciberseguridad han descubierto campañas de malware que utilizan la ahora predominante táctica de ingeniería social ClickFix para implementar Amatera Stealer y NetSupport RAT.
La actividad observada este mes está siendo rastreada por eSentire bajo el nombre de EVALUACIÓN.
Amatera, descubierto por primera vez en junio de 2025, se considera una proceso de ACR (sigla de “AcridRain”) Stealer, que estaba habitable bajo el maniquí de malware como servicio (MaaS) hasta que se suspendieron las ventas del malware a mediados de julio de 2024. Amatera está habitable para su adquisición a través de planes de suscripción que van desde $199 por mes hasta $1499 por un año.
“Amatera proporciona a los actores de amenazas amplias capacidades de exfiltración de datos dirigidas a billeteras criptográficas, navegadores, aplicaciones de correo, clientes FTP y servicios de correo electrónico”, dijo el proveedor canadiense de ciberseguridad. “En particular, Amatera emplea técnicas de despreocupación avanzadas como WoW64 SysCalls para eludir los mecanismos de conexión en modo de becario comúnmente utilizados por sandboxes, soluciones antivirus y productos EDR”.
Como suele ser el caso con los ataques ClickFix, se engaña a los usuarios para que ejecuten comandos maliciosos utilizando el cuadro de diálogo Ejecutar de Windows para completar una comprobación de comprobación reCAPTCHA en páginas de phishing falsas. El comando inicia un proceso de varios pasos que implica el uso del binario “mshta.exe” para iniciar un script de PowerShell que es responsable de descargar un .NET descargado de MediaFire, un servicio de alojamiento de archivos.
La carga útil es la DLL Amatera Stealer empaquetada con PureCrypter, un cargador y criptador multifuncional basado en C# que igualmente se anuncia como una proposición de MaaS por un actor de amenazas llamado PureCoder. La DLL se inyecta en el proceso “MSBuild.exe”, tras lo cual el estafador recopila datos confidenciales y se pone en contacto con un servidor extranjero para ejecutar un comando de PowerShell para agenciárselas y ejecutar NetSupport RAT.
“Lo que es particularmente digno de mención en el PowerShell invocado por Amatera es una comprobación para determinar si la máquina víctima es parte de un dominio o tiene archivos de valencia potencial, por ejemplo, billeteras criptográficas”, dijo eSentire. “Si no se encuentra ningún, NetSupport no se descarga”.
El mejora coincide con el descubrimiento de varias campañas de phishing que propagan una amplia serie de familias de malware:
- Correos electrónicos que contienen archivos adjuntos de secuencias de comandos de Visual Basic que se hacen acontecer por facturas para entregar XWorm mediante una secuencia de comandos por lotes que invoca un cargador de PowerShell.
- Los sitios web comprometidos reciben inyección de JavaScript malvado que redirige a los visitantes del sitio a páginas falsas de ClickFix que imitan las comprobaciones de Cloudflare Turnstile para ofrecer NetSupport RAT como parte de una campaña en curso con nombre en código SmartApeSG (igualmente conocido como HANEYMANEY y ZPHP).
- Usar sitios falsos de Booking.com para mostrar comprobaciones CAPTCHA falsas que emplean señuelos ClickFix para ejecutar un comando PowerShell malvado que elimina un estafador de credenciales cuando se ejecuta a través del cuadro de diálogo Ejecutar de Windows
- Correos electrónicos que falsifican notificaciones internas de “entrega de correo electrónico” que afirman falsamente suceder bloqueado mensajes importantes relacionados con facturas pendientes, entregas de paquetes y solicitudes de cotizaciones (RFQ) para engañar a los destinatarios para que hagan clic en un enlace que desvía las credenciales de inicio de sesión con el pretexto de mover los mensajes a la bandeja de entrada.
- Ataques que utilizan kits de phishing llamados Cephas (que surgieron por primera vez en agosto de 2024) y Tycoon 2FA para transigir a los usuarios a páginas de inicio de sesión maliciosas para el robo de credenciales.
“Lo que hace que Cephas sea sobresaliente es que implementa una técnica de ofuscación distintiva y poco global”, dijo Barracuda en un examen publicado la semana pasada. “El kit oscurece su código creando caracteres invisibles aleatorios interiormente del código fuente que lo ayudan a evitar los escáneres anti-phishing y obstruyen que las reglas YARA basadas en firmas coincidan con los métodos de phishing exactos”.
