SOC Prime Bias: Medio

20 May 2026 21:56 UTC

Amatera Stealer 4.0.2 Beta: ¿Cuáles son las novedades en esta variante?

Author Photo
SOC Prime Team linkedin icon Seguir
Amatera Stealer 4.0.2 Beta: ¿Cuáles son las novedades en esta variante?
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Amatera Stealer 4.0.2 Beta es un ladrón de información en C++ modificado que ha sido comercializado como Malware como Servicio desde 2018. Esta versión actualizada introduce capacidades más fuertes de anti-depuración y anti-análisis, incluye controles de geovallas vinculados a productos de Kaspersky y distribuciones de teclado ucranianas, y reemplaza AES-256-CBC con un intercambio de claves ECDH combinado con ChaCha20-Poly1305 para el cifrado de comando y control. Sus módulos de recopilación también se han expandido para apuntar a billeteras de criptomonedas adicionales y extensiones de navegador, mientras añade soporte para la recolección de artefactos de Discord y Signal. La entrega se basa en un ClickFix mshta.exe cadena que despliega un cargador de shellcode de 32 bits, que inyecta reflexivamente el ladrón directamente en la memoria.

Investigación

La Unidad de Respuesta a Amenazas de eSentire observó la cadena de entrega completa en un ambiente del sector financiero en abril de 2026. Su análisis identificó un cargador de shellcode de 32 bits que resolvía siete APIs principales, descifraba su carga útil usando una clave XOR de 128 bytes, la descomprimía con aPLib, y realizaba inyección de PE reflexiva. El cargador también implementó el método de resolución de llamadas al sistema RecycledGate y FreshyCalls junto con la encriptación de números de llamadas al sistema. Los datos de configuración se entregaron a través de HTTPS mediante un intercambio de claves basado en ECDH protegido por ChaCha20-Poly1305, y el acceso a la configuración requería un GUID de código duro.

Mitigación

Los defensores deberían bloquear mshta.exe la ejecución de archivos recuperados de URLs no confiables y deshabilitar el cuadro de diálogo Ejecutar a través de la Política de Grupo donde sea posible. Las herramientas de control de aplicaciones como AppLocker o WDAC deberían utilizarse para prevenir ejecuciones no autorizadas de PowerShell y HTA. Los equipos de seguridad también deben monitorear caminos de controladores conocidos de Kaspersky y verificaciones de distribuciones de teclado ucranianas, ya que pueden indicar comportamientos de evasión. La protección de endpoints debe ser capaz de detectar técnicas de inyección reflexiva y cargadores que dependen del hashing de API.

Respuesta

Si se detecta actividad de Amatera Stealer, aísle el sistema afectado inmediatamente, detenga el proceso malicioso y recoja volcados de memoria para el análisis de claves y cargas útiles. Capture el tráfico TLS descifrado cuando sea posible para recuperar detalles de configuración e identificar cualquier dato exfiltrado. Se debe realizar una revisión completa de credenciales y billeteras de criptomonedas presentes en el host. Las organizaciones también deberían lanzar una búsqueda basada en indicadores en todo el entorno utilizando los IOCs reportados y técnicas relacionadas del atacante.

Flujo de Ataque

Ejecutar Simulación

Prerrequisito: El Control de Prevuelo de Telemetría y Línea Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos:
    Un atacante que ha obtenido ejecución de PowerShell en un host comprometido desea explotar un error de evasión de controladores de Kaspersky. Utilizan el cmdlet New-Item para soltar cuatro archivos de controladores de engaño (klif.sys, kldisk.sys, klhk.sys, kneps.sys) en C:WindowsSysWOW64drivers. Al hacerlo, generan las cadenas de línea de comandos exactas que la regla Sigma coincide, provocando una alerta mientras también plantan archivos que podrían ser utilizados para una posible escalación de privilegios o persistencia.

  • Guión de Prueba de Regresión:

    # Script de PowerShell para crear los cuatro archivos de controladores de Kaspersky de engaño.
    $driverPath = "C:WindowsSysWOW64drivers"
    $files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys")
    
    foreach ($f in $files) {
        $fullPath = Join-Path -Path $driverPath -ChildPath $f
        try {
            New-Item -Path $fullPath -ItemType File -Force -ErrorAction Stop |
                Out-Null
            Write-Host "[+] Created $fullPath"
        } catch {
            Write-Warning "[-] Failed to create $fullPath : $_"
        }
    }
  • Comandos de Limpieza:

    # Elimine los archivos de controladores de engaño creados para restaurar el host a su estado original.
    $driverPath = "C:WindowsSysWOW64drivers"
    $files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys")
    
    foreach ($f in $files) {
        $fullPath = Join-Path -Path $driverPath -ChildPath $f
        if (Test-Path $fullPath) {
            Remove-Item -Path $fullPath -Force
            Write-Host "[+] Removed $fullPath"
        }
    }