Investigadores revelan cómo la técnica de “malware copy-paste” se ha vuelto más evasiva al abusar de componentes firmados de Windows y servicios de confianza como Google Calendar.
La técnica de ingeniería social que convirtió al usuario en el principal vector de ataque ha dado un salto cualitativo en sofisticación. Según un nuevo reporte, los ataques tipo “ClickFix” (también conocidos como ClearFake) ya no solo dependen de engañar al usuario para que pegue código PowerShell malicioso; ahora están utilizando componentes internos de Windows para ocultar su actividad de los antivirus.
Los investigadores han descubierto una nueva campaña que distribuye el infostealer Amatera, dirigida específicamente a entornos corporativos que utilizan ediciones Enterprise de Windows 10 y 11.
La Nueva Cadena de Ataque: Abuso de “App-V”
Lo que hace única a esta campaña es cómo se ejecuta el malware una vez que el usuario cae en la trampa.
- El Cebo (CAPTCHA Falso): El usuario visita una web comprometida y se encuentra con un mensaje de “Verificación Humana” (CAPTCHA) falso.
- La Instrucción: Se le pide al usuario que copie un código al portapapeles y lo ejecute en el cuadro de diálogo “Ejecutar” de Windows (Win+R) para “verificar que no es un robot”.
- El Truco Técnico (SyncAppvPublishingServer.vbs):
- En lugar de invocar powershell.exe directamente (lo cual es ruidoso y fácil de detectar), el comando pegado abusa de un script legítimo y firmado por Microsoft: SyncAppvPublishingServer.vbs.
- Este script es parte de la solución de virtualización Microsoft App-V, presente solo en versiones Enterprise/Education de Windows.
- Al pasar argumentos maliciosos a este script legítimo, los atacantes logran inyectar código PowerShell en memoria, evadiendo las restricciones de ejecución y engañando a las herramientas de seguridad que confían en los procesos firmados por Microsoft (técnica conocida como Living-off-the-Land o LOLBin).
Infraestructura “Legítima”: Google Calendar como C2
La evasión no termina en el endpoint. Para descargar la carga útil final (el malware Amatera), los atacantes no se conectan a un servidor sospechoso en Rusia o China.
- Dead Drop Resolver: El script consulta un archivo de evento público (.ics) alojado en Google Calendar.
- La Configuración: Dentro de la descripción de este evento de calendario aparentemente inofensivo, se encuentran ocultas las instrucciones y enlaces para descargar el malware real.
- El Beneficio: Dado que el tráfico va hacia google.com, la mayoría de los firewalls corporativos lo permiten sin inspección, haciendo que la comunicación de comando y control (C2) sea invisible.
Variantes: GlitchFix y ErrTraffic
El reporte también destaca que ClickFix se ha convertido en una industria por derecho propio.
- GlitchFix: Una nueva variante impulsada por el sistema de distribución de tráfico ErrTraffic. Utiliza JavaScript para “romper” visualmente una página web real (haciendo que el texto se vea borroso o desalineado) y luego ofrece un cuadro de diálogo falso para “arreglar el problema de visualización”, engañando al usuario para que ejecute el comando malicioso.
¿Por qué es tan peligroso?
ClickFix convierte al usuario en el vector de acceso inicial. El ataque parece benigno desde la perspectiva de la defensa del endpoint porque se basa en acciones legítimas del usuario y herramientas del sistema de confianza.
Recomendaciones
- Bloqueo de Scripts: Si tu organización no utiliza Microsoft App-V, considera bloquear o restringir la ejecución de SyncAppvPublishingServer.vbs mediante AppLocker o reglas de reducción de superficie de ataque (ASR).
- Educación de Usuario: La regla de oro debe ser clara: “Nunca pegues código en la terminal o en la ventana ‘Ejecutar’ que no entiendas, sin importar qué mensaje de error o verificación veas en pantalla.”
- Monitoreo de Portapapeles: Algunas soluciones EDR avanzadas pueden detectar y bloquear la inyección de comandos sospechosos desde el portapapeles hacia consolas del sistema.
