Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Ladrons EVALUSION Campanya ClickFix

EVALUSION Campanya ClickFix

El Mezo el Ladrons
Traduir a:

Els analistes de ciberseguretat han descobert una onada contínua d'activitat maliciosa que es basa en gran mesura en el mètode d'enginyeria social ClickFix. Aquesta campanya, coneguda com a AVALUCIÓ, aprofita la tècnica per distribuir tant Amatera Stealer com NetSupport RAT, permetent un robatori de dades extensiu i accés remot a sistemes infectats.

D’ACR a Amatera: L’evolució d’un lladre

Els primers signes d'Amatera van aparèixer el juny de 2025, i els investigadors l'han avaluat com a successor directe de l'anterior ACR (AcridRain) Stealer, que anteriorment operava sota un model de subscripció de programari maliciós com a servei. Després que les vendes d'ACR cessessin a mitjans de juliol de 2024, Amatera va aparèixer amb la seva pròpia estructura de preus escalonats que oscil·lava entre els 199 dòlars al mes i els 1.499 dòlars a l'any, cosa que el feia accessible a una varietat d'actors d'amenaces.

Capacitats creades per al robatori integral

Amatera ofereix àmplies funcions de recopilació de dades dissenyades per comprometre múltiples tipus d'informació d'usuaris. Els seus objectius s'estenen a través de moneders criptogràfics, navegadors, clients de missatgeria, utilitats FTP i programes de correu electrònic. Per evitar la detecció, utilitza tàctiques d'evasió avançades, com ara WoW64 SysCalls, que l'ajuden a evitar la supervisió comuna del mode d'usuari utilitzada per sandboxes, motors AV i solucions EDR.

Els objectius de dades clau inclouen:

  • Carteres i extensions de criptomonedes
  • navegadors web
  • Plataformes de missatgeria populars
  • Clients FTP
  • Aplicacions de correu electrònic

ClickFix a la feina: el procés d’infecció

Com s'ha vist en molts escenaris de ClickFix, les víctimes són convençudes perquè executin una ordre al quadre de diàleg Executa de Windows amb l'aparença de completar un desafiament reCAPTCHA fals en llocs web fraudulents de phishing. Aquesta ordre desencadena una reacció en cadena que implica mshta.exe, que executa un script de PowerShell. L'script recupera un binari .NET allotjat a MediaFire, preparant el terreny per al desplegament de la càrrega útil.

PureCrypter i MSBuild: una cadena de lliurament furtiva

El component descarregat és una DLL Amatera Stealer oculta amb PureCrypter, un carregador versàtil basat en C# també venut com a producte MaaS per un desenvolupador conegut com a PureCoder. Un cop activa, la DLL s'injecta a MSBuild.exe, permetent que el lladre comenci a recopilar dades. A continuació, contacta amb un servidor extern i executa una ordre de PowerShell per descarregar i iniciar NetSupport RAT.

La lògica d'execució passa pels passos següents:

  • Comprova si el sistema pertany a un domini
  • Busca fitxers potencialment valuosos, com ara dades de moneders criptogràfics
  • Només continua amb el desplegament de NetSupport RAT si es compleix una d'aquestes condicions.

Segmentació selectiva per a un impacte màxim

Un dels aspectes més inusuals de la rutina PowerShell d'Amatera és la seva lògica condicional. El lladre avalua si el punt final infectat forma part d'un domini corporatiu o conté dades d'alt valor. Si no es compleix cap dels dos criteris, el RAT de NetSupport es reté intencionadament, cosa que suggereix que els operadors busquen conservar recursos i centrar-se en els sistemes que ofereixen el major rendiment.

Aquest enfocament específic, combinat amb la manipulació de ClickFix i un ecosistema de programari maliciós refinat, subratlla la creixent sofisticació de les operacions modernes de ciberdelinqüència.

Tendència

Més vist

Carregant...