Los investigadores de ciberseguridad han descubierto campañas de malware que utilizan la ahora predominante táctica de ingeniería social ClickFix para implementar Amatera Stealer y NetSupport RAT.
La actividad observada este mes está siendo rastreada por eSentire bajo el nombre de EVALUACIÓN.
Amatera, descubierto por primera vez en junio de 2025, se considera una evolución de ACR (abreviatura de «AcridRain») Stealer, que estaba disponible bajo el modelo de malware como servicio (MaaS) hasta que se suspendieron las ventas del malware a mediados de julio de 2024. Amatera está disponible para su compra a través de planes de suscripción que van desde $199 por mes hasta $1499 por un año.
«Amatera proporciona a los actores de amenazas amplias capacidades de exfiltración de datos dirigidas a billeteras criptográficas, navegadores, aplicaciones de mensajería, clientes FTP y servicios de correo electrónico», dijo el proveedor canadiense de ciberseguridad. «En particular, Amatera emplea técnicas de evasión avanzadas como WoW64 SysCalls para eludir los mecanismos de conexión en modo de usuario comúnmente utilizados por sandboxes, soluciones antivirus y productos EDR».
Como suele ser el caso con los ataques ClickFix, se engaña a los usuarios para que ejecuten comandos maliciosos utilizando el cuadro de diálogo Ejecutar de Windows para completar una verificación de verificación reCAPTCHA en páginas de phishing falsas. El comando inicia un proceso de varios pasos que implica el uso del binario «mshta.exe» para iniciar un script de PowerShell que es responsable de descargar un .NET descargado de MediaFire, un servicio de alojamiento de archivos.
La carga útil es la DLL Amatera Stealer empaquetada con PureCrypter, un cargador y criptador multifuncional basado en C# que también se anuncia como una oferta de MaaS por un actor de amenazas llamado PureCoder. La DLL se inyecta en el proceso «MSBuild.exe», tras lo cual el ladrón recopila datos confidenciales y se pone en contacto con un servidor externo para ejecutar un comando de PowerShell para buscar y ejecutar NetSupport RAT.
«Lo que es particularmente digno de mención en el PowerShell invocado por Amatera es una verificación para determinar si la máquina víctima es parte de un dominio o tiene archivos de valor potencial, por ejemplo, billeteras criptográficas», dijo eSentire. «Si no se encuentra ninguno, NetSupport no se descarga».
El desarrollo coincide con el descubrimiento de varias campañas de phishing que propagan una amplia gama de familias de malware:
- Correos electrónicos que contienen archivos adjuntos de secuencias de comandos de Visual Basic que se hacen pasar por facturas para entregar XWorm mediante una secuencia de comandos por lotes que invoca un cargador de PowerShell.
- Los sitios web comprometidos reciben inyección de JavaScript malicioso que redirige a los visitantes del sitio a páginas falsas de ClickFix que imitan las comprobaciones de Cloudflare Turnstile para ofrecer NetSupport RAT como parte de una campaña en curso con nombre en código SmartApeSG (también conocido como HANEYMANEY y ZPHP).
- Usar sitios falsos de Booking.com para mostrar comprobaciones CAPTCHA falsas que emplean señuelos ClickFix para ejecutar un comando PowerShell malicioso que elimina un ladrón de credenciales cuando se ejecuta a través del cuadro de diálogo Ejecutar de Windows
- Correos electrónicos que falsifican notificaciones internas de «entrega de correo electrónico» que afirman falsamente haber bloqueado mensajes importantes relacionados con facturas pendientes, entregas de paquetes y solicitudes de cotizaciones (RFQ) para engañar a los destinatarios para que hagan clic en un enlace que desvía las credenciales de inicio de sesión con el pretexto de mover los mensajes a la bandeja de entrada.
- Ataques que utilizan kits de phishing llamados Cephas (que surgieron por primera vez en agosto de 2024) y Tycoon 2FA para llevar a los usuarios a páginas de inicio de sesión maliciosas para el robo de credenciales.
«Lo que hace que Cephas sea notable es que implementa una técnica de ofuscación distintiva y poco común», dijo Barracuda en un análisis publicado la semana pasada. «El kit oscurece su código creando caracteres invisibles aleatorios dentro del código fuente que lo ayudan a evadir los escáneres anti-phishing y obstruyen que las reglas YARA basadas en firmas coincidan con los métodos de phishing exactos».