Cybersecurity researchers han revelado detalles de una nueva campaña que combina CAPTCHAs falsos estilo ClickFix con un script firmado de Microsoft Application Virtualization (App-V) para distribuir un ladrón de información llamado Amatera.
"En lugar de lanzar PowerShell directamente, el atacante usa este script para controlar cómo comienza la ejecución y evitar rutas de ejecución más comunes y fácilmente reconocibles", dijeron los investigadores de Blackpoint, Jack Patrick y Sam Decker, en un informe publicado la semana pasada.
Al hacerlo, la idea es transformar el script de App-V en un binario "living-off-the-land" (LotL) que actúa como intermediario para la ejecución de PowerShell a través de un componente confiable de Microsoft para ocultar la actividad maliciosa.
El punto de partida del ataque es un mensaje falso de verificación CAPTCHA que busca engañar a los usuarios para que peguen y ejecuten un comando malicioso en el cuadro de diálogo Ejecutar de Windows. Pero aquí es donde el ataque se diferencia de los ataques ClickFix tradicionales.
El comando proporcionado, en lugar de invocar PowerShell directamente, abusa de "SyncAppvPublishingServer.vbs", un script de Visual Basic firmado asociado con App-V, para recuperar y ejecutar un cargador en memoria desde un servidor externo usando "wscript.exe".
Vale la pena señalar que el mal uso de "SyncAppvPublishingServer.vbs" no es nuevo. En 2022, dos actores de amenazas diferentes de China y Corea del Norte, conocidos como DarkHotel y BlueNoroff, fueron observados aprovechando la explotación de LOLBin para ejecurar sigilosamente un script de PowerShell. Pero esta es la primera vez que se observa en ataques ClickFix.
"Los adversarios pueden abusar de SyncAppvPublishingServer.vbs para eludir las restricciones de ejecución de PowerShell y evadir las medidas de defensa mediante el 'living off the land'", señala MITRE en su marco ATT&CK. "La ejecución delegada puede funcionar como una alternativa confiable/firmada a invocar directamente 'powershell.exe'".
El uso de un script de App-V también es significativo, ya que la solución de virtualización solo está integrada en las ediciones Enterprise y Education de Windows 10 y Windows 11, junto con las versiones modernas de Windows Server. No está disponible para instalaciones de Windows Home o Pro.
En los sistemas operativos Windows donde App-V está ausente o no habilitado, la ejecución del comando falla directamente. Esto también indica que los sistemas administrados empresariales son probablemente los objetivos principales de la campaña.
El cargador ofuscado realiza comprobaciones para asegurarse de que no se ejecuta en entornos sandbox, y luego procede a obtener datos de configuración de un archivo público de Google Calendar (ICS), convirtiendo esencialmente un servicio de terceros confiable en un resolvedor de caída muerta.
"Al externalizar la configuración de esta manera, el actor puede rotar rápidamente la infraestructura o ajustar los parámetros de entrega sin volver a implementar etapas anteriores de la cadena, reduciendo la fricción operativa y extendiendo la vida útil del vector de infección inicial", señalaron los investigadores.
El análisis del archivo de evento de calendario conduce a la recuperación de etapas de cargador adicionales, incluido un script de PowerShell que funciona como cargador intermedio para ejecutar la siguiente etapa, otro script de PowerShell, directamente en memoria. Este paso, a su vez, resulta en la recuperación de una imagen PNG de dominios como "gcdnb.pbrd[.]co" e "iili[.]io" a través de las API de WinINet que oculta una carga útil de PowerShell cifrada y comprimida.
El script resultante se descifra, se descomprime con GZip en memoria y se ejecuta usando Invoke-Expression, culminando en la ejecución de un cargador de shellcode diseñado para lanzar Amatera Stealer.
"Lo que hace interesante a esta campaña no es un solo truco, sino lo cuidadosamente pensado que está todo cuando se encadena", concluyó Blackpoint. "Cada etapa refuerza la anterior, desde requerir interacción manual del usuario, hasta validar el estado del portapapeles, hasta extraer configuración en vivo de un servicio de terceros confiable".
"El resultado es un flujo de ejecución que solo progresa cuando se desarrolla (casi) exactamente como el atacante espera, lo que hace que tanto la detonación automatizada como el análisis casual sean significativamente más difíciles".
La evolución de ClickFix: FileFix, JackFix, CrashFix y GlitchFix
La divulgación se produce en un momento en que ClickFix se ha convertido en uno de los métodos de acceso inicial más utilizados en el último año, representando el 47% de los ataques observados por Microsoft.
Campañas recientes de ClickFix han atacado a creadores de contenido en redes sociales afirmando que son elegibles para insignias verificadas gratuitas, instruyéndolos a través de videos para copiar tokens de autenticación de sus cookies del navegador en un formulario falso para completar el supuesto proceso de verificación. El video incrustado también informa al usuario de "no cerrar sesión durante al menos 24 horas" para mantener los tokens de autenticación válidos.
La campaña, activa desde al menos septiembre de 2025, se estima que ha utilizado 115 páginas web a lo largo de la cadena de ataque y ocho puntos finales de exfiltración, según Hunt.io. Los principales objetivos de la actividad incluyen creadores, páginas monetizadas y empresas que buscan verificación, con el objetivo final de facilitar la toma de cuentas tras el robo de tokens.
"Defenderse contra la técnica ClickFix es un desafío único porque la cadena de ataque se basa casi por completo en acciones legítimas del usuario y el abuso de herramientas confiables del sistema", dijo Martin Zugec, director de soluciones técnicas de Bitdefender, en un informe del mes pasado. "A diferencia del malware tradicional, ClickFix convierte al usuario en el vector de acceso inicial, haciendo que el ataque parezca benigno desde una perspectiva de defensa de punto final".
ClickFix también está en constante evolución, utilizando variantes como FileFix, JackFix y CrashFix para engañar a las víctimas para que infecten sus propias máquinas. Mientras los operadores usan varios métodos para intentar convencer a un objetivo de que ejecute un comando, la creciente popularidad de la técnica de ingeniería social ha allanado el camino para los creadores de ClickFix que se anuncian en foros de hackers por entre $200 y $1,500 por mes.
El último participante en este panorama de amenazas es ErrTraffic, un sistema de distribución de tráfico (TDS) diseñado específicamente para campañas tipo ClickFix que hace que los sitios web comprometidos con JavaScript malicioso fallen y luego sugiera una solución para abordar el problema inexistente. Esta técnica ha sido denominada GlitchFix.
El malware como servicio (MaaS) admite tres modos diferentes de distribución de archivos que implican el uso de alertas falsas de actualización del navegador, diálogos falsos de "fuente del sistema requerida" y errores falsos de fuente faltante para desencadenar la ejecución de comandos maliciosos. ErrTraffic está explícitamente bloqueado para ejecutarse en máquinas ubicadas en los países de la Comunidad de Estados Independientes (CEI).
"ErrTraffic no solo muestra un mensaje falso de actualización, sino que corrompe activamente la página subyacente para hacer que las víctimas crean que algo anda realmente mal", dijo Censys. "También aplica transformaciones CSS que hacen que todo parezca roto".
ClickFix también ha sido adoptado por los actores de amenazas detrás de la campaña ClearFake, conocida por infectar sitios web con señuelos falsos de actualización del navegador en WordPress comprometido para distribuir malware. El uso de ClickFix por parte de ClearFake se registró por primera vez en mayo de 2024, aprovechando desafíos CAPTCHA para entregar Emmenhtal Loader (también conocido como PEAKLIGHT), que luego descarga Lumma Stealer.
La cadena de ataque también hace uso de otra técnica conocida como EtherHiding para recuperar el código JavaScript de la siguiente etapa utilizando contratos inteligentes en Binance Smart Chain (BSC) de BNB e inyectar finalmente el CAPTCHA falso de ClickFix obtenido de un contrato inteligente diferente en la página web. Al mismo tiempo, la etapa final evita reinfectar a víctimas ya infectadas.
Al igual que en el caso del ataque de Amatera Stealer, el comando ClickFix copiado al portapapeles abusa de "SyncAppvPublishingServer.vbs" para obtener la carga útil final alojada en la red de entrega de contenido jsDelivr (CDN). El análisis de Expel de la campaña ClearFake muestra que hasta 147,521 sistemas probablemente han sido infectados desde finales de agosto de 2025.
"Uno de los muchos factores que los productos de seguridad utilizan para decidir si un comportamiento es malicioso o no es si dicho comportamiento está siendo realizado por una aplicación confiable", dijo el investigador de seguridad Marcus Hutchins. "En este caso, 'SyncAppvPublishingServer.vbs' es un componente predeterminado de Windows, y el archivo solo puede ser modificado por TrustedInstaller (una cuenta de sistema altamente privilegiada utilizada internamente por el sistema operativo). Por lo tanto, el archivo y su comportamiento por sí solos no serían normalmente sospechosos".
"Es poco probable que las organizaciones y los EDR bloqueen completamente 'SyncAppvPublishingServer.vbs' para lanzar PowerShell en modo oculto, ya que impediría que el componente se use para su propósito previsto. En consecuencia, al abusar del error de inyección de línea de comandos en 'SyncAppvPublishingServer.vbs', los atacantes pueden ejecutar código arbitrario a través de un componente confiable del sistema".
Expel también caracterizó la campaña como altamente sofisticada y muy evasiva, debido al uso de ejecución de código PowerShell en memoria, junto con su dependencia de blockchain y CDN populares, asegurando así que no se comunica con ninguna infraestructura que no sea un servicio legítimo.
Censys ha descrito el ecosistema más amplio de CAPTCHA falsos como un "patrón de abuso fragmentado y de cambio rápido que utiliza la infraestructura web confiable como superficie de entrega", donde los desafíos estilo Cloudflare actúan como un conducto para la ejecución impulsada por portapapeles de comandos de PowerShell, VBScripts, instaladores MSI e incluso transferencias a marcos nativos del navegador como Matrix Push C2.
"Esto se alinea con un cambio más amplio hacia Living Off the Web: reutilización sistemática de interfaces temáticas de seguridad, flujos de trabajo aprobados por la plataforma y comportamiento condicionado del usuario para entregar malware", dijo la empresa de gestión de superficie de ataque. "Los atacantes no necesitan comprometer servicios confiables; heredan la confianza al operar dentro de flujos de trabajo familiares de verificación y navegador que los usuarios y las herramientas están entrenados para aceptar".
