Los hackers atacan monederos de criptomonedas y datos de navegación en una campaña de ventanas emergentes reCAPTCHA falsas

El grupo de ciberseguridad eSentire ha descubierto el uso de ventanas emergentes falsas al estilo CAPTCHA para engañar a las víctimas e inducirlas a instalar malware de robodent, Amatera Stealer y NETSupport RAT, abusando de un método conocido como ClickFix.

La Unidad de Respuesta ante Amenazas (TRU) de eSentire ha estado tracuna escalada en las campañas que abusan de ClickFix para obtener acceso inicial a sistemas objetivo desde noviembre. Según la TRU, los ciberdelincuentes utilizan este método para engañar a las víctimas y lograr que ejecuten comandos maliciosos manualmente a través del símbolo del sistema de Windows (Ejecutar). 

Una vez ejecutados, esos comandos inician una cadena de infección que termina con el despliegue de Amatera Stealer y NetSupport RAT, ambas herramientas legítimas de monitorización remota que han sido reutilizadas por ciberdelincuentes para el acceso remoto no autorizado.

La campaña ClickFix utiliza reCAPTCHA para introducir malware de forma infiltrada.

Según una investigación de eSentire publicada el jueves pasado, los hackers están atrayendo a las víctimas utilizando sitios web falsos y ventanas emergentes que parecen "controles de seguridad", incluyendo casillas de verificación reCAPTCHA fraudulentas y páginas falsificadas de Cloudflare Turnstile.

Las interfaces engañosas incitan a los usuarios a «solucionar» un supuesto problema, y las instrucciones les llevan a ejecutar comandos dañinos sin que sean conscientes de los riesgos. Una vez ejecutado el comando inicial, se instala primero Amatera Stealer, seguido de NetSupport Manager, que permite a los atacantes monitorizar y controlar el equipo comprometido como si estuvieran físicamente presentes.

Amatera Stealer no es una amenaza completamente nueva, sino la última evolución de ACR Stealer, también conocido como AcridRain. La versión anterior apareció por primera vez como un producto de malware como servicio en foros de hackers en 2024, y varios usuarios la implementaron mediante paquetes de suscripción.

Las ventas de ACR se interrumpieron a mediados de 2024 cuando su desarrollador, conocido en línea como SheldIO, vendió el código fuente del malware. A pesar del anuncio de la venta, el grupo afirmó que esto no suponía el fin de su desarrollo. Los investigadores creen ahora que Amatera es el sucesor directo de ACR, reconstruido con mayores capacidades y nuevas técnicas de evasión.

Amatera, detectada por la empresa de auditoría de seguridad Proofpoint en junio, está disponible mediante suscripción con precios que oscilan entre 199 dólares al mes y 1499 dólares al año.

“Amatera proporciona a los ciberdelincuentes amplias capacidades de exfiltración de datos dirigidas a criptomonedas, navegadores, aplicaciones de mensajería, clientes FTP y servicios de correo electrónico. Emplea estrategias de evasión avanzadas como las llamadas al sistema WoW64 para sortear los mecanismos de interceptación en modo usuario utilizados por los entornos aislados, las soluciones antivirus y los productos EDR”, afirmó eSentire.

El malware está escrito en C++ y es capaz de recopilar contraseñas guardadas, datos de tarjetas, historiales de navegación y archivos de navegadores como Chrome, Brave, Edge, Opera, Firefox y plataformas especializadas como Tor Browser y Thunderbird.

Cargadores de Windows PowerShell de varias etapas que ocultan malware

Según el análisis de amenazas de eSentire, el proceso de infección de Amatera se basa en varias capas de comandos de PowerShell ofuscados. 

Los investigadores de TRU observaron una fase en la que se descifraban las cargas útiles subsiguientes mediante una operación XOR con la cadena «AMSI_RESULT_NOT_DETECTED», un término asociado a la interfaz de análisis antimalware de Microsoft. Es posible que el desarrollador del cargador haya seleccionado esta frase intencionadamente para confundir a los investigadores que realizaban análisis dinámicos.

Si bien Amatera es la carga útil más común en estas campañas, eSentire también documentó casos en los que se utilizó el mismo cargador para desplegar otros programas de robo de información, como Lumma y Vidar. Algunas muestras carecían de los parámetros de configuración necesarios para ejecutar cargadores de varias etapas, por lo que los atacantes optaron por desplegar NetSupport Manager directamente.

eSentire y otras empresas de seguridad han documentado campañas de correo electrónico que distribuyen archivos de script de Visual Basic disfrazados de facturas. Al abrirlos, se ejecutan scripts por lotes que inician cargadores de PowerShell que instalan el gusano XWorm.

Otras campañas involucraron sitios web comprometidos que redirigían a los visitantes a páginas falsas de verificación de Cloudflare, las cuales imitaban las notificaciones de ClickFix. Esta actividad se ha vinculado a una operación conocida con nombres como SmartApeSG, HANEYMANEY y ZPHP, todas las cuales utilizan el RAT NetSupport como carga útil final.

Los hackers habían creado sitios web fraudulentos de Booking.com que alojaban comprobaciones CAPTCHA falsificadas, instruyendo a los usuarios para que abrieran el cuadro de diálogo Ejecutar de Windows y ejecutaran un comando, e instalando directamente un script de robo dedenten los sistemas infectados.

Algunas de las campañas de phishing relacionadas con la distribución de este malware utilizan un nuevo kit de phishing conocido como Cephas. Según la empresa de soluciones de ciberseguridad Barracuda, Cephas emplea un método avanzado de ofuscación que inserta caracteres invisibles en el código fuente de las páginas de phishing, lo que dificulta su detección por parte de los escáneres automatizados.

“El kit oculta su código creando caracteres invisibles aleatorios dentro del código fuente que le ayudan a evadir los escáneres antiphishing e impiden que las reglas YARA basadas en firmas coincidan con los métodos de phishing exactos”, escribió en su análisis la semana pasada.

Hazte notar donde importa. Publicita en Cryptopolitan Research y llega a los inversores y creadores de criptomonedas más inteligentes.