EVALUSION ClickFix Campaign
Анализатори по киберсигурност разкриха продължаваща вълна от злонамерена дейност, разчитаща до голяма степен на широко разпространения метод за социално инженерство ClickFix. Тази кампания, проследявана като EVALUSION, използва техниката за разпространение както на Amatera Stealer, така и на NetSupport RAT, което позволява мащабна кражба на данни и отдалечен достъп до заразените системи.
Съдържание
От ACR до Amatera: Еволюцията на крадеца на карти
Първите признаци на Amatera се появиха през юни 2025 г., като изследователите я оцениха като пряк наследник на по-ранния ACR (AcridRain) Stealer, който преди това работеше по модел на абонамент „зловреден софтуер като услуга“. След като продажбите на ACR бяха прекратени в средата на юли 2024 г., Amatera се появи със собствена многостепенна ценова структура, варираща от 199 долара на месец до 1499 долара годишно, което я направи достъпна за различни злонамерени лица.
Възможности, създадени за цялостна кражба
Amatera предлага широк набор от функции за събиране на данни, предназначени да компрометират множество видове потребителска информация. Целите ѝ обхващат крипто портфейли, браузъри, клиенти за съобщения, FTP програми и имейл програми. За да избегне откриване, тя използва усъвършенствани тактики за избягване, включително WoW64 SysCalls, които ѝ помагат да заобиколи често срещаното наблюдение на потребителския режим, използвано от пясъчник, антивирусни системи и EDR решения.
Ключовите цели за данни включват:
- Портфейли и разширения за криптовалути
- Уеб браузъри
- Популярни платформи за съобщения
- FTP клиенти
- Приложения за имейл
ClickFix на работа: Процесът на заразяване
Както се вижда в много сценарии на ClickFix, жертвите са убеждавани да изпълнят команда в диалоговия прозорец „Изпълнение“ на Windows под претекст, че изпълняват фалшив reCAPTCHA тест на измамни фишинг сайтове. Тази команда задейства верижна реакция, включваща mshta.exe, който изпълнява PowerShell скрипт. Скриптът извлича .NET двоичен файл, хостван на MediaFire, подготвяйки почвата за разполагане на полезен товар.
PureCrypter и MSBuild: Скрита верига за доставка
Изтегленият компонент е DLL файл на Amatera Stealer, скрит с помощта на PureCrypter, универсален C#-базиран зареждащ файл, продаван и като MaaS продукт от разработчик, известен като PureCoder. След като е активен, DLL файлът се инжектира в MSBuild.exe, което позволява на крадеца на данни да започне да събира данни. След това той се свързва с външен сървър и изпълнява PowerShell команда, за да изтегли и стартира NetSupport RAT.
Логиката на изпълнение преминава през следните стъпки:
- Проверява дали системата принадлежи към домейн
- Търси потенциално ценни файлове, като например данни за крипто портфейли
- Продължава с внедряването на NetSupport RAT само ако е изпълнено едно от тези условия
Селективно таргетиране за максимално въздействие
Един от по-необичайните аспекти на PowerShell рутината на Amatera е нейната условна логика. Крадецът оценява дали заразената крайна точка е част от корпоративен домейн или съдържа данни с висока стойност. Ако нито един от критериите не е изпълнен, NetSupport RAT се задържа умишлено, което предполага, че операторите се стремят да пестят ресурси и да се фокусират върху системи, предлагащи най-голяма възвръщаемост.
Този целенасочен подход, комбиниран с манипулация на ClickFix и усъвършенствана екосистема от зловреден софтуер, подчертава нарастващата сложност на съвременните киберпрестъпни операции.
