Los investigadores en ciberseguridad han sacado a la luz una cadena de ataque que combina un viejo conocido del engaño web —las CAPTCHAs falsas del tipo ClickFix— con una maniobra menos esperada: el abuso de un script firmado por Microsoft perteneciente a App‑V para ocultar la ejecución maliciosa. El resultado es una secuencia milimétricamente pensada que termina descargando un stealer de información llamado Amatera, y que plantea serios retos para las defensas tradicionales.
La pieza clave que hace de palanca en esta campaña no es un ejecutable sospechoso, sino un componente legítimo del sistema. En lugar de invocar PowerShell directamente, los atacantes inducen a la víctima a ejecutar un comando que lanza SyncAppvPublishingServer.vbs, un script firmado asociado a la virtualización de aplicaciones de Microsoft (App‑V). Al apoyarse en una herramienta de confianza, la amenaza se camufla bajo el paraguas de lo legítimo y complica la detección por soluciones que priorizan la reputación de procesos. Para entender qué es App‑V y por qué importa, Microsoft mantiene la documentación oficial en la que explica esta tecnología: App‑V en la documentación de Microsoft.
El vector inicial es el ya conocido truco de la CAPTCHA falsa: el usuario aterriza en una página que aparenta pedir una verificación y recibe instrucciones, generalmente en un vídeo o diálogo, para copiar y pegar un comando en el cuadro Ejecutar de Windows. Lo novedoso de esta campaña es que el comando no llama a PowerShell directamente, sino que aprovecha SyncAppvPublishingServer.vbs para lanzar un cargador en memoria a través de wscript.exe, lo que sirve como un proxy firmado que “vuelve confiable” la ejecución posterior. Esta técnica de usar binarios legítimos del sistema para ejecutar código malicioso es lo que la comunidad denomina living‑off‑the‑land; el marco ATT&CK de MITRE documenta este tipo de abusos, incluyendo la variante que utiliza SyncAppvPublishingServer.vbs: MITRE ATT&CK — abuso de SyncAppvPublishingServer.vbs.
Que el vector se base en App‑V no es un detalle menor: esta tecnología está presente únicamente en las ediciones Enterprise y Education de Windows 10/11 y en versiones modernas de Windows Server. En sistemas Home o Pro donde App‑V no existe o no está activado, la cadena se rompe, lo que sugiere que los atacantes han orientado sus esfuerzos hacia entornos corporativos y administrados.
Una vez ejecutado el cargador ofuscado, los autores realizan comprobaciones para evitar sandboxes y entornos de análisis automático, y a continuación descargan su configuración desde un recurso inesperado: un archivo de calendario público alojado en Google Calendar. Al externalizar parámetros de control en un servicio legítimo y público, el atacante puede rotar infraestructuras y cambiar coordenadas sin reescribir las etapas anteriores del ataque. Este uso de calendarios como repositorios de configuración es un ejemplo de lo que la industria denomina un dead‑drop resolver, un método que también figura en las técnicas catalogadas por MITRE: Dead Drop Resolver (T1102.001).
El calendario apunta entonces a cargas adicionales: un script intermedio en PowerShell que, ejecutado en memoria, recupera una imagen PNG desde servicios de CDN como jsDelivr o dominios que actúan como fachada. Dentro de esa imagen se oculta, cifrado y comprimido, el siguiente payload en PowerShell. En memoria se realiza la descompresión y el descifrado, y finalmente se invoca el código que carga un shellcode diseñado para desplegar Amatera. Este modo de operación, donde todo sucede en memoria y sin dejar binarios sospechosos en disco, complica enormemente la capacidad de análisis y de captura de evidencia por detección tradicional.
Lejos de ser un truco aislado, esta cadena encaja en una evolución más amplia de las campañas ClickFix. En los últimos meses han proliferado variantes con nombres como JackFix o CrashFix, y han surgido paneles y servicios que comercializan la técnica como un producto: los operadores venden kits de ClickFix en foros por cantidades considerables, lo que facilita que actores con menos habilidad técnica desplieguen campañas exitosas. En paralelo han emergido plataformas de distribución diseñadas específicamente para este tipo de engaños, como ErrTraffic, que introduce un enfoque denominado GlitchFix para corromper visualmente páginas y convencer al usuario de que “arreglar” el problema requiere ejecutar un comando.
Investigadores de firmas de seguridad han estado documentando estos desarrollos. Blackpoint describió la cadena que culmina en Amatera y destacó la orquestación precisa entre etapas; la entrada técnica está disponible en su blog: Blackpoint — cadena de CAPTCHA falsa que entrega Amatera. Otros análisis que han rastreado campañas ClickFix dirigidas a creadores de contenido en redes sociales, con falsos procesos de verificación y robo de tokens de sesión, han sido publicados por Hunt.io y por equipos de respuesta en empresas como Palo Alto (Unit42): Unit42 — amenazas contra creadores.
Una característica recurrente en estas campañas es su preferencia por servicios y plataformas con reputación: CDNs, calendarios públicos y contratos inteligentes en blockchains han sido empleados como tuberías de distribución o de almacenamiento de código. Este enfoque permite a los atacantes “heredar” la confianza de servicios legítimos, una tendencia que Censys ha denominado “Living Off the Web” y que describe cómo la infraestructura confiable se convierte en superficie de entrega de malware: Censys — Living Off the Web.
Casos como ClearFake ejemplifican el uso combinado de ClickFix con otras técnicas creativas: la campaña infectó sitios WordPress, inyectó cebos de actualización de navegador y usó contratos inteligentes en Binance Smart Chain para ocultar el siguiente fragmento de JavaScript a recuperar —una técnica bautizada por los analistas como EtherHiding. El relato de Expel sobre ClearFake ofrece un diagnóstico de la sofisticación y del alcance de esas operaciones: Expel — ClearFake y técnicas LotL.
¿Qué conclusiones prácticas extraemos de todo esto? En primer lugar, la defensa tradicional basada únicamente en bloquear ejecutables sospechosos en disco no es suficiente: los atacantes están aprovechando procesos firmados y realizando ejecución en memoria, lo que obliga a sistemas de detección a evaluar comportamiento y contexto con mayor profundidad. En segundo lugar, el factor humano sigue siendo el eslabón más explotado: cualquier diálogo que pida copiar/pegar comandos o trasladar tokens debe activarse como sospechoso y revisarse fuera del flujo normal del navegador.
Para organizaciones, las recomendaciones pasan por endurecer controles de privilegios, limitar y monitorear el uso de componentes opcionales como App‑V donde no sean necesarios, y ajustar las reglas de EDR para vigilar invocaciones inusuales a scripts legítimos. Asimismo, conviene educar a usuarios especialmente sensibles —creadores de contenido, equipos de marketing y administradores de sitios— sobre los riegos de aceptar "verificaciones" que soliciten ejecutar comandos locales. Bitdefender y otros proveedores han publicado análisis y guías sobre cómo entender y mitigar ClickFix; un resumen divulgativo está disponible en el portal de Bitdefender Business Insights: Bitdefender — cómo funciona ClickFix.
En definitiva, la campaña que desemboca en Amatera no trae una invención técnica revolucionaria, sino una combinación muy cuidada de técnicas conocidas: engaño dirigido a usuarios, explotación de herramientas firmadas del sistema, configuración dinámica en servicios públicos y ejecución en memoria. Esa orquestación hace que el ataque avance solo cuando todo encaja, dificultando tanto la detonación automatizada en entornos de análisis como la respuesta rápida en detección real. Mantenerse alerta y ajustar defensas para detectar patrones de abuso de confianza será clave para reducir el impacto de este tipo de amenazas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...