Los investigadores de ciberseguridad han revelado detalles de una nueva campaña que combina Haga clic en Fijar estilo CAPTCHA falsos con una virtualización de aplicaciones de Microsoft firmada ( Aplicación-V ) script para distribuir un ladrón de información llamado Amatera .

«En lugar de lanzar PowerShell directamente, el atacante usa este script para controlar cómo comienza la ejecución y evitar las rutas de ejecución más comunes y fáciles de reconocer», afirman Jack Patrick y Sam Decker, investigadores de Blackpoint dijo en un informe publicado la semana pasada.

Al hacerlo, la idea es transformar el script de App-V en un binario de vida fuera de la tierra (LotL) que redirija la ejecución de PowerShell a través de un componente confiable de Microsoft para ocultar la actividad maliciosa.

El punto de partida del ataque es un mensaje de verificación CAPTCHA falso que busca engañar a los usuarios para que peguen y ejecuten un comando malicioso en el cuadro de diálogo Ejecutar de Windows. Pero aquí es donde el ataque difiere de los ataques tradicionales de ClickFix.

El comando suministrado, en lugar de invocar PowerShell directamente, abusa de» SyncAppPublishingServer.vbs », un script de Visual Basic firmado asociado a App-V para recuperar y ejecutar un cargador en memoria desde un servidor externo mediante «wscript.exe».

Vale la pena señalar que el mal uso de «SyncAppVPublishingServer.vbs» no es nuevo. En 2022, dos actores de amenazas diferentes de China y Corea del Norte fueron rastreados como Hotel oscuro y Azul o apagado , se observó que aprovechaban el exploit LolBin para ejecutar sigilosamente un script de PowerShell. Sin embargo, es la primera vez que se observa en los ataques de ClickFix.

«Los adversarios pueden abusar de SyncAppVPublishingServer.vbs para eludir las restricciones de ejecución de PowerShell y evadir las contramedidas defensivas 'viviendo de la tierra'», dijo MITRE notas en su marco ATT&CK. «La ejecución mediante proxy puede funcionar como una alternativa confiable o firmada a invocar directamente 'powershell.exe'».

El uso de un script de App-V también es importante, ya que la solución de virtualización solo está integrada en las ediciones Enterprise y Education de Windows 10 y Windows 11, junto con las versiones modernas de Windows Server. No está disponible para instalaciones de Windows Home o Pro.

En los sistemas operativos Windows en los que App-V está ausente o no está habilitado, la ejecución del comando falla rotundamente. Esto también indica que los sistemas gestionados por la empresa son probablemente los principales objetivos de la campaña.

El cargador ofuscado realiza comprobaciones para garantizar que no se ejecuta en entornos aislados y, a continuación, procede a obtener los datos de configuración de un archivo público de Google Calendar (ICS), lo que básicamente convierte un servicio de terceros confiable en un solucionador de puntos muertos .

«Al externalizar la configuración de esta manera, el actor puede rotar rápidamente la infraestructura o ajustar los parámetros de entrega sin volver a desplegar las etapas anteriores de la cadena, lo que reduce la fricción operativa y prolonga la vida útil del vector de infección inicial», señalaron los investigadores.

El análisis del archivo de eventos del calendario permite recuperar etapas de carga adicionales, incluido un script de PowerShell que funciona como un cargador intermedio para ejecutar la siguiente etapa, otro script de PowerShell, directamente en la memoria. Este paso, a su vez, da como resultado la recuperación de una imagen PNG de dominios como «gcdnb.pbrd [.] co» e «iili [.] io» a través de las API de WinInet que ocultan una carga útil de PowerShell cifrada y comprimida.

El script resultante se descifra, se descomprime GZip en la memoria y se ejecuta mediante Invoke-Expression, lo que finalmente culmina con la ejecución de un cargador de código shell diseñado para lanzar Amatera Stealer.

«Lo que hace que esta campaña sea interesante no es un solo truco, sino el cuidado con el que se piensa todo cuando está encadenado», concluyó Blackpoint. «Cada etapa refuerza la anterior, desde requerir la interacción manual del usuario hasta validar el estado del portapapeles y obtener la configuración en tiempo real desde un servicio confiable de terceros».

«El resultado es un flujo de ejecución que solo progresa cuando se desarrolla (casi) exactamente como el atacante espera, lo que dificulta considerablemente tanto la detonación automatizada como el análisis casual».

La evolución de ClickFix: JackFix, CrashFix y GlitchFix

La revelación se produce cuando ClickFix se ha convertido en uno de los métodos de acceso inicial más utilizados en el último año, y representa el 47% de los ataques observados por Microsoft.

Las campañas recientes de ClickFix tienen dirigido los creadores de contenido de redes sociales afirman que pueden obtener insignias verificadas gratuitas y les indican mediante vídeos que copien los tokens de autenticación de las cookies de su navegador en un formulario falso para completar el supuesto proceso de verificación. El vídeo incorporado también informa al usuario de que «no cierre sesión durante al menos 24 horas» para mantener la validez de los tokens de autenticación.

Se estima que la campaña, activa desde al menos septiembre de 2025, utilizó 115 páginas web a lo largo de la cadena de ataque y ocho puntos finales de exfiltración. por Hunt.io . Los principales objetivos de la actividad incluyen a los creadores, las páginas monetizadas y las empresas que buscan la verificación, con el objetivo final de facilitar la apropiación de cuentas tras el robo de un token.

«La defensa contra la técnica ClickFix es un desafío único porque la cadena de ataque se basa casi exclusivamente en las acciones legítimas de los usuarios y en el abuso de herramientas del sistema confiables», dijo Martin Zugec, director de soluciones técnicas de Bitdefender, dijo en un informe del mes pasado. «A diferencia del malware tradicional, ClickFix convierte al usuario en el vector de acceso inicial, lo que hace que el ataque parezca benigno desde el punto de vista de la defensa de los terminales».

ClickFix también está en constante evolución, utilizando variantes como Jack Fix y CrashFix para engañar a la víctima para que infecte sus propias máquinas. Si bien los operadores utilizan varios métodos para intentar convencer a un objetivo de que ejecute un comando, la creciente popularidad de la técnica de ingeniería social ha allanado el camino para Constructores ClickFix que se anuncian en foros de hackers por entre 200 y 1500 dólares al mes.

El último participante en este panorama de amenazas es Tráfico de errores , un sistema de distribución de tráfico (TDS) diseñado específicamente para campañas similares a las de ClickFix, ya que provoca problemas en los sitios web comprometidos a los que se les inyecta JavaScript malintencionado y, a continuación, sugiere una solución para solucionar un problema inexistente. Esta técnica recibe el nombre en código de GlitchFix.

El malware como servicio (MaaS) admite tres modos de distribución de archivos diferentes que implican el uso de alertas falsas de actualización del navegador, cuadros de diálogo falsos de «se requiere fuente del sistema» y errores falsos de fuentes del sistema faltantes para activar la ejecución de comandos malintencionados. Se bloquea explícitamente la ejecución de ErrTraffic en máquinas ubicadas en los países de la Comunidad de Estados Independientes (CEI).

«ErrTraffic no solo muestra un aviso de actualización falso, sino que corrompe activamente la página subyacente para que las víctimas crean que algo está realmente mal», dijo Censys dijo . «También aplica transformaciones de CSS que hacen que todo parezca roto».

ClickFix también ha sido adoptado por los actores de amenazas detrás del Borrar Fake campaña, conocida por infectar sitios con falsos señuelos de actualización de navegadores web en WordPress comprometido para distribuir malware. El uso de ClickFix por parte de ClearFake se registró por primera vez en mayo de 2024, aprovechando los desafíos de CAPTCHA para lanzar Emmenhtal Loader (también conocido como PEAKLIGHT), que luego descartó Lumma Stealer.

La cadena de ataque también utiliza otra técnica conocida denominada EtherHiding para recuperar el código JavaScript de la siguiente etapa mediante contratos inteligentes en la cadena inteligente BNB (BSC) de Binance y, finalmente, inyectar en la página web el CAPTCHA falso de ClickFix obtenido de otro contrato inteligente. Al mismo tiempo, la etapa final evita volver a infectar a las víctimas ya infectadas.

Al igual que en el caso del ataque Amatera Stealer, el comando ClickFix copiado al portapapeles abusa de «SyncAppVPublishingServer.vbs» para obtener la carga útil final alojada en la red de entrega de contenido (CDN) JSDelivr. El análisis de Expel sobre la campaña ClearFake muestra que es probable que se hayan infectado hasta 147.521 sistemas desde finales de agosto de 2025.

«Uno de los muchos factores que utilizan los productos de seguridad para decidir si el comportamiento es malicioso o no es si dicho comportamiento lo lleva a cabo una aplicación confiable», dijo el investigador de seguridad Marcus Hutchins dijo . «En este caso, 'SyncAppVPublishingServer.vbs' es un componente predeterminado de Windows y el archivo solo puede modificarlo TrustedInstaller (una cuenta de sistema con muchos privilegios que el sistema operativo utiliza internamente). Por lo tanto, el archivo y su comportamiento por sí solos normalmente no serían sospechosos».

«Es poco probable que las organizaciones y EDR impidan por completo que SyncAppVPublishingServer.vbs inicie PowerShell en modo oculto, ya que evitaría que el componente se utilizara para el propósito previsto. Por lo tanto, los atacantes pueden ejecutar código arbitrario a través de un componente fiable del sistema si utilizan el error de inserción en la línea de comandos de SyncAppvPublishingServer.vbs.

Expel también calificó la campaña de altamente sofisticada y evasiva, debido al uso de la ejecución de código PowerShell en memoria, junto con su dependencia de la cadena de bloques y las populares CDN, lo que garantiza que no se comunique con ninguna infraestructura que no sea un servicio legítimo.

Censys ha descrito el falso ecosistema CAPTCHA más amplio como un «patrón de abuso fragmentado y que cambia rápidamente que utiliza una infraestructura web confiable como superficie de entrega», en el que los desafíos al estilo de Cloudflare actúan como un conducto para la ejecución desde el portapapeles de comandos de PowerShell, scripts de VB, instaladores de MSI e incluso la transferencia a marcos nativos del navegador, como Matrix Push C2 .

«Esto se alinea con un cambio más amplio hacia la vida fuera de la web: la reutilización sistemática de las interfaces con temas de seguridad, los flujos de trabajo aprobados por la plataforma y el comportamiento condicionado de los usuarios para entregar malware», dijo la empresa de gestión de superficies de ataque dijo . «Los atacantes no necesitan comprometer los servicios confiables; heredan la confianza al operar dentro de flujos de trabajo conocidos de verificación y navegador que los usuarios y las herramientas están capacitados para aceptar».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.