Amatera Stealer 4.0.2 Beta: ¿Cuáles son las novedades en esta variante?

SOC Prime Team

Seguir

Amatera Stealer 4.0.2 Beta: ¿Cuáles son las novedades en esta variante?

Detection stack

AIDR
Alert
ETL
Query

Informe de Amenazas
Flujo de Ataque
Detecciones
Simulaciones

Resumen

Amatera Stealer 4.0.2 Beta es un ladrón de información en C++ modificado que ha sido comercializado como Malware como Servicio desde 2018. Esta versión actualizada introduce capacidades más fuertes de anti-depuración y anti-análisis, incluye controles de geovallas vinculados a productos de Kaspersky y distribuciones de teclado ucranianas, y reemplaza AES-256-CBC con un intercambio de claves ECDH combinado con ChaCha20-Poly1305 para el cifrado de comando y control. Sus módulos de recopilación también se han expandido para apuntar a billeteras de criptomonedas adicionales y extensiones de navegador, mientras añade soporte para la recolección de artefactos de Discord y Signal. La entrega se basa en un ClickFix mshta.exe cadena que despliega un cargador de shellcode de 32 bits, que inyecta reflexivamente el ladrón directamente en la memoria.

Investigación

La Unidad de Respuesta a Amenazas de eSentire observó la cadena de entrega completa en un ambiente del sector financiero en abril de 2026. Su análisis identificó un cargador de shellcode de 32 bits que resolvía siete APIs principales, descifraba su carga útil usando una clave XOR de 128 bytes, la descomprimía con aPLib, y realizaba inyección de PE reflexiva. El cargador también implementó el método de resolución de llamadas al sistema RecycledGate y FreshyCalls junto con la encriptación de números de llamadas al sistema. Los datos de configuración se entregaron a través de HTTPS mediante un intercambio de claves basado en ECDH protegido por ChaCha20-Poly1305, y el acceso a la configuración requería un GUID de código duro.

Mitigación

Los defensores deberían bloquear mshta.exe la ejecución de archivos recuperados de URLs no confiables y deshabilitar el cuadro de diálogo Ejecutar a través de la Política de Grupo donde sea posible. Las herramientas de control de aplicaciones como AppLocker o WDAC deberían utilizarse para prevenir ejecuciones no autorizadas de PowerShell y HTA. Los equipos de seguridad también deben monitorear caminos de controladores conocidos de Kaspersky y verificaciones de distribuciones de teclado ucranianas, ya que pueden indicar comportamientos de evasión. La protección de endpoints debe ser capaz de detectar técnicas de inyección reflexiva y cargadores que dependen del hashing de API.

Respuesta

Si se detecta actividad de Amatera Stealer, aísle el sistema afectado inmediatamente, detenga el proceso malicioso y recoja volcados de memoria para el análisis de claves y cargas útiles. Capture el tráfico TLS descifrado cuando sea posible para recuperar detalles de configuración e identificar cualquier dato exfiltrado. Se debe realizar una revisión completa de credenciales y billeteras de criptomonedas presentes en el host. Las organizaciones también deberían lanzar una búsqueda basada en indicadores en todo el entorno utilizando los IOCs reportados y técnicas relacionadas del atacante.

graph TB classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef process fill:#99ff99 classDef technique fill:#ffeb99 classDef operator fill:#ff9900 action_user_execution[«Acción – T1218.005 ejecución de mshta El usuario ejecuta una aplicación HTML maliciosa»] class action_user_execution action process_powershell[«Proceso – PowerShell Comando codificado en Base64»] class process_powershell process tool_reflective_loader[«Herramienta – cargador reflectivo Descarga shellcode de 32 bits»] class tool_reflective_loader tool technique_reflective_loader[«Técnica – T1620 carga de código reflectivo»] class technique_reflective_loader technique technique_xor_obfusc[«Técnica – T1027.002 ofuscación XOR»] class technique_xor_obfusc technique technique_aplib_compress[«Técnica – T1027.007 compresión aPLib»] class technique_aplib_compress technique technique_anti_debug[«Técnica – T1652 detección de entorno de análisis»] class technique_anti_debug technique malware_stealer[«Malware – stealer Recolecta credenciales, frases semilla y claves privadas»] class malware_stealer malware technique_credential_browser[«Técnica – T1555.003 credenciales de navegadores»] class technique_credential_browser technique technique_credential_manager[«Técnica – T1555.004 credenciales del administrador de Windows»] class technique_credential_manager technique technique_credential_manager_file[«Técnica – T1555.005 credenciales de gestores de contraseñas»] class technique_credential_manager_file technique technique_credential_chat[«Técnica – T1552.008 transmisión insegura por chat»] class technique_credential_chat technique technique_credential_files[«Técnica – T1552.001 archivos de credenciales»] class technique_credential_files technique technique_search_downloads[«Técnica – búsqueda de descargas para frases semilla y claves privadas»] class technique_search_downloads technique technique_zip[«Técnica – T1560 archivado de datos recopilados»] class technique_zip technique technique_https_exfil[«Técnica – T1573.001 uso de HTTPS para C2»] class technique_https_exfil technique technique_encrypted_exfil[«Técnica – T1041 exfiltración de tráfico cifrado»] class technique_encrypted_exfil technique action_user_execution –>|ejecuta| process_powershell process_powershell –>|descarga| tool_reflective_loader tool_reflective_loader –>|implementa| technique_reflective_loader tool_reflective_loader –>|usa| technique_xor_obfusc tool_reflective_loader –>|usa| technique_aplib_compress tool_reflective_loader –>|evade detección mediante| technique_anti_debug tool_reflective_loader –>|carga| malware_stealer malware_stealer –>|recolecta| technique_credential_browser malware_stealer –>|recolecta| technique_credential_manager malware_stealer –>|recolecta| technique_credential_manager_file malware_stealer –>|recolecta| technique_credential_chat malware_stealer –>|recolecta| technique_credential_files malware_stealer –>|busca| technique_search_downloads malware_stealer –>|archiva| technique_zip technique_zip –>|exfiltra vía| technique_https_exfil technique_https_exfil –>|usa cifrado| technique_encrypted_exfil

Flujo de Ataque

Narrativa del Ataque y Comandos:
Un atacante que ha obtenido ejecución de PowerShell en un host comprometido desea explotar un error de evasión de controladores de Kaspersky. Utilizan el cmdlet New-Item para soltar cuatro archivos de controladores de engaño (klif.sys, kldisk.sys, klhk.sys, kneps.sys) en C:WindowsSysWOW64drivers. Al hacerlo, generan las cadenas de línea de comandos exactas que la regla Sigma coincide, provocando una alerta mientras también plantan archivos que podrían ser utilizados para una posible escalación de privilegios o persistencia.

Guión de Prueba de Regresión:

# Script de PowerShell para crear los cuatro archivos de controladores de Kaspersky de engaño.
$driverPath = "C:WindowsSysWOW64drivers"
$files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys")

foreach ($f in $files) {
    $fullPath = Join-Path -Path $driverPath -ChildPath $f
    try {
        New-Item -Path $fullPath -ItemType File -Force -ErrorAction Stop |
            Out-Null
        Write-Host "[+] Created $fullPath"
    } catch {
        Write-Warning "[-] Failed to create $fullPath : $_"
    }
}

Comandos de Limpieza:

# Elimine los archivos de controladores de engaño creados para restaurar el host a su estado original.
$driverPath = "C:WindowsSysWOW64drivers"
$files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys")

foreach ($f in $files) {
    $fullPath = Join-Path -Path $driverPath -ChildPath $f
    if (Test-Path $fullPath) {
        Remove-Item -Path $fullPath -Force
        Write-Host "[+] Removed $fullPath"
    }
}

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis