Nueva actividad de Amatera Stealer se distribuye a través de captcha falso

• Publicado: 28/01/2026
• Importancia: Media

---

Recursos afectados

La cadena de infección inicia con un CAPTCHA fraudulento que induce al usuario a ejecutar un comando desde el cuadro “Ejecutar”. Dicho comando abusa del script legítimo SyncAppvPublishingServer.vbs, asociado a App-V, el cual es utilizado como LOLBin para invocar PowerShell a través del proceso wscript.exe, reduciendo su visibilidad y evadiendo controles de seguridad tradicionales.

 

Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas

• PowerShell
• malware
• script
• Windows
• LOLBIN
• App-V
• captcha
• loader
• base64
• HTTPS
• sandbox
• Google Calendar
• esteganografía
• payload
• shellcode
• API
• c2