En los últimos meses ha emergido una cadena de infección que combina ingeniería social clásica con técnicas técnicas cada vez más refinadas para pasar desapercibida. Los investigadores de BlackPoint Cyber han documentado una campaña que emplea una página de verificación falsa tipo CAPTCHA para engañar al usuario y lograr que pegue y ejecute un comando desde el cuadro Ejecutar de Windows. Lo que podría parecer un truco simple es solo la primera pieza de una secuencia diseñada para usar utilidades legítimas del sistema y ocultar la actividad maliciosa.
El vector de confianza aquí es Microsoft Application Virtualization (App‑V), una funcionalidad pensada para empresas que permite ejecutar aplicaciones empaquetadas en entornos virtualizados sin instalarlas de manera tradicional. En esta campaña los atacantes abusan de un script legítimo asociado a App‑V, SyncAppvPublishingServer.vbs, y lo ejecutan con wscript.exe —un binario firmado por Microsoft— para lanzar PowerShell. De este modo convierten un componente oficial en un «proxy» para ejecutar código malicioso, una técnica conocida por aprovechar binarios de sistema para evadir controles de seguridad y que en términos de ATT&CK se relaciona con el uso de herramientas legítimas del sistema como T1218 (Living-off-the-Land Binaries).
Antes de proseguir, el comando que la víctima debe pegar valida varias condiciones: comprueba que la acción fue realizada por una persona (no por un sandbox automatizado), verifica el orden de ejecución esperado y hasta revisa que el portapapeles no haya sufrido cambios. Si detecta indicios de análisis automático la ejecución se queda «congelada» mediante esperas infinitas para desaprovechar recursos de análisis. Solo cuando se cumplen las condiciones diseñadas por los atacantes, la cadena continúa descargando parámetros de configuración desde un recurso público de Google Calendar: los valores están codificados en base64 dentro de un evento concreto.
La sofisticación aumenta en las fases siguientes. Los atacantes lanzan un proceso PowerShell de 32 bits oculto a través de Windows Management Instrumentation (WMI), descifran cargas incrustadas y cargan componentes directamente en memoria. Más adelante ocultan un payload cifrado dentro de imágenes PNG alojadas en CDN públicos: emplean esteganografía por el bit menos significativo para insertar datos en píxeles, recuperan esas imágenes usando llamadas WinINet resueltas dinámicamente, extraen los bits ocultos, descifran el resultado y lo descomprimen (GZip) para ejecutarlo íntegramente en memoria. La víctima rara vez verá archivos en disco; todo ocurre en RAM.
El estadio final de la cadena descifra y ejecuta código nativo en memoria que despliega Amatera, un info‑stealer que, según BlackPoint, roba credenciales y datos del navegador y que, por solapamiento de código, deriva del conocido ACR stealer. Amatera se comercializa como malware‑as‑a‑service (MaaS) y ha ido incorporando mecanismos de evasión en cada iteración; análisis previos de Proofpoint muestran su evolución hacia técnicas más sofisticadas.
Una vez activo, el malware contacta a un servidor de mando duro (hardcoded) para obtener mapas de endpoints y permanece a la espera de instrucciones o binarios adicionales entregados por POST HTTP. Este comportamiento hace que la detección en red siga siendo muy útil: patrones de tráfico, dominios y discrepancias entre cabeceras HTTP o SNI TLS frente a la dirección IP de destino son indicadores que pueden delatar la comunicación maliciosa.
Si te preguntas por qué esta campaña funciona a pesar de las protecciones existentes, la respuesta está en la mezcla de dos factores: engañar a la persona para que ejecute un comando legítimo y luego usar componentes de Windows firmados o servicios públicos (Google Calendar, CDNs) para alojar y recuperar configuración y cargas útiles. Esa combinación reduce las señales típicas de malware y complica la identificación por firmas tradicionales.
Para reducir el riesgo hay varias medidas prácticas que conviene considerar. En el plano administrativo, limitar el acceso al cuadro Ejecutar mediante políticas de grupo puede evitar que usuarios peguen y ejecuten comandos arbitrarios; si la funcionalidad App‑V no es necesaria en un entorno concreto, su eliminación reduce la superficie explotable. A nivel de detección, activar el registro avanzado de PowerShell (incluido el Script Block Logging) aumenta la visibilidad sobre comandos y fragmentos que se ejecutan en memoria, y la monitorización de conexiones salientes buscando desajustes entre el nombre de host en la cabecera HTTP o el SNI TLS y la IP de destino ayuda a identificar comunicaciones sospechosas. Microsoft mantiene documentación útil sobre App‑V y sobre las APIs implicadas; para quien gestione entornos Windows, revisar la guía oficial ofrece un marco técnico fiable: documentación de App‑V, WinINet y opciones de registro de PowerShell.
No todo es configuración técnica: la educación del usuario sigue siendo clave. Desconfiar de páginas que simulan problemas de navegador o verificación humana y que piden realizar acciones inusuales —como pegar un comando en Ejecutar— es una defensa simple y muy efectiva. Las organizaciones deberían combinar formación, controles de plataforma y telemetría de red para enfrentar cadenas de ataque que dependen tanto de la manipulación humana como del abuso de componentes legítimos.
La campaña descrita por BlackPoint es un recordatorio de que los adversarios siguen adaptando sus métodos: mezclan ingeniería social con artefactos firmados y técnicas como la esteganografía para reducir su huella. Mantener sistemas actualizados, minimizar la presencia de componentes que no sean imprescindibles y habilitar registros y monitorización adecuados son pasos prácticos que aumentan mucho el coste de éxito para quienes diseñan estas cadenas de infección. Para más detalles técnicos y mitigaciones propuestas por los investigadores, revisa el análisis de BlackPoint en su blog y el reporte de Proofpoint sobre la evolución de Amatera: BlackPoint Cyber y Proofpoint.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...