Amatera Stealer, un malware como servicio que se vende desde 199 dólares al mes

Los ladrones de información, especialmente los ofrecidos como malware como servicio (MaaS), son muy populares entre los atacantes. Tras la caída de Lumma Stealer, el más conocido del mercado, los ciberdelincuentes estaban buscando nuevas opciones, entre las que Amatera Stealer, una versión renovada y mejorada del MaaS ACR Stealer, se convirtió en una de las más seguidas dentro del panorama de amenazas.

Amatera se vende bajo un plan de suscripción a través de plataformas en línea de fácil acceso, con precios que oscilan entre los 199 dólares al mes y los 1.499 dólares anuales, lo que reduce las barreras para los ciberdelincuentes que quieren lanzar campañas de robo de datos. Actualmente, se centra en robar información de software instalado, como navegadores, carteras cripto, archivos del disco que coincidan con una extensión o palabra clave específica, datos de cookies, formularios web y datos de perfil, dependiendo de la configuración que reciba de su C2, además de ser capaz de ejecutar cargas secundarias.

Investigadores de Proofpoint han publicado un análisis sobre Amatera Stealer, el cual revela que, aunque conserva la esencia de su predecesor, esta última variante, en desarrollo activo, introduce sofisticados mecanismos de entrega, defensas contra el análisis y una estructura de control renovada, lo que la hace más sigilosa y peligrosa.

Según Proofpoint, entre abril y mayo, Amatera Stealer se distribuyó a través de inyecciones en ClearFake, que compromete sitios web legítimos con HTML y JavaScript maliciosos. Por correo electrónico, los mensajes contenían enlaces a páginas comprometidas. Aunque es probable que ni el remitente ni el propietario del sitio tuvieran la intención de causar daño, se cargaron scripts maliciosos alojados en blockchain y scripts secundarios desde una URL controlada por el atacante, con el fin de crear una superposición del sitio web comprometido y presentar un captcha falso que instaba a los usuarios a verificar que eran humanos.

“Amatera Stealer está siendo objeto de mejoras activas para que sea más difícil de detectar por los análisis automatizados y los agentes de detección de endpoints. Mientras tanto, este MaaS está siendo utilizado por los ciberdelincuentes con cadenas de ataque inteligentes que incluyen ofuscación y filtrado inusuales, así como la técnica de ingeniería social ClickFix”, resumen los investigadores de Proofpoint. “Los ladrones de información son cada vez más populares en la ciberdelincuencia, por lo que la identificación, la ingeniería inversa y la detección de amenazas emergentes son vitales. Las organizaciones deben ser conscientes de toda la cadena de ataque e implementar defensas a su alrededor, incluyendo educar a los usuarios sobre los métodos de engaño más comunes, incorporarlos a la formación en seguridad existente y restringir a los usuarios medios la ejecución de scripts no autorizados”.