App-V

Uma nova campanha de cibersegurança combina o método ClickFix com um CAPTCHA falso e um script assinado do Microsoft Application Virtualization (App-V) para entregar o malware infostealer Amatera. O script do App-V atua como um binário de ’living-off-the-land’, disfarçando a atividade maliciosa ao usar um componente confiável da Microsoft. A campanha inicia-se com um CAPTCHA que solicita que a vítima cole e execute um comando no Windows Run. Esse comando abusa do script legítimo SyncAppvPublishingServer.vbs, que normalmente é utilizado para gerenciar aplicações virtualizadas. O malware, uma versão em desenvolvimento do ACR infostealer, coleta dados de navegadores e credenciais. Durante a execução, ele verifica se está sendo analisado em um ambiente seguro, utilizando técnicas como espera infinita para evitar detecções. O ataque também utiliza esteganografia para ocultar cargas úteis em imagens PNG, que são extraídas e executadas em memória. Para se proteger contra esses ataques, recomenda-se restringir o acesso ao Windows Run, remover componentes do App-V desnecessários e monitorar conexões de saída. A Amatera é classificada como um malware como serviço (MaaS), tornando-se uma ameaça crescente no cenário de segurança cibernética.