EVALUSION ClickFix Campaign
Analytici kybernetické bezpečnosti odhalili pokračující vlnu škodlivé aktivity, která se silně spoléhá na rozšířenou metodu sociálního inženýrství ClickFix. Tato kampaň, označovaná jako EVALUSION, využívá tuto techniku k distribuci Amatera Stealer a NetSupport RAT, což umožňuje rozsáhlé krádeže dat a vzdálený přístup k infikovaným systémům.
Obsah
Od ACR k Amatera: Vývoj zloděje karet
První známky existence Amatery se objevily v červnu 2025, kdy ji vědci hodnotili jako přímého nástupce dřívějšího viru ACR (AcridRain) Stealer, který dříve fungoval na základě modelu předplatného malwaru jako služby. Poté, co prodej ACR v polovině července 2024 skončil, se Amatera objevila s vlastní stupňovitou cenovou strukturou od 199 dolarů měsíčně do 1 499 dolarů ročně, což ji zpřístupnilo celé řadě aktérů hrozby.
Schopnosti vytvořené pro komplexní krádeže
Amatera nabízí široké funkce pro shromažďování dat, které jsou navrženy tak, aby ohrozily různé typy uživatelských informací. Její cíle sahají přes krypto peněženky, prohlížeče, klienty pro zasílání zpráv, FTP utility a e-mailové programy. Aby se vyhnula odhalení, používá pokročilé taktiky úniku, včetně systémových volání WoW64, které jí pomáhají obejít běžné monitorování uživatelského režimu používané sandboxy, antivirovými enginy a řešeními EDR.
Mezi klíčové datové cíle patří:
- Kryptoměnové peněženky a rozšíření
- Webové prohlížeče
- Oblíbené platformy pro zasílání zpráv
- FTP klienti
- E-mailové aplikace
ClickFix v práci: Proces infekce
Jak je vidět v mnoha scénářích ClickFixu, oběti jsou přesvědčeny ke spuštění příkazu v dialogovém okně Spustit systému Windows pod záminkou dokončení falešného testu reCAPTCHA na podvodných phishingových stránkách. Tento příkaz spustí řetězovou reakci zahrnující mshta.exe, který spustí skript PowerShellu. Skript načte binární soubor .NET hostovaný na MediaFire, čímž připraví půdu pro nasazení datového obsahu.
PureCrypter a MSBuild: Nenápadný doručovací řetězec
Stažená komponenta je knihovna DLL pro Amatera Stealer, skrytá pomocí PureCrypteru, všestranného zavaděče založeného na C#, který je také prodáván jako produkt MaaS vývojářem známým jako PureCoder. Po aktivaci je knihovna DLL vložena do MSBuild.exe, což umožňuje zaváděči začít shromažďovat data. Poté se spojí s externím serverem a provede příkaz PowerShellu pro stažení a spuštění NetSupport RAT.
Logika provádění prochází následujícími kroky:
- Zkontroluje, zda systém patří do domény.
- Hledá potenciálně cenné soubory, jako jsou data krypto peněženek
- Nasazení NetSupport RAT pokračuje pouze v případě, že je splněna jedna z těchto podmínek.
Selektivní cílení pro maximální dopad
Jedním z neobvyklejších aspektů PowerShellové rutiny Amatera je její podmíněná logika. Stealer vyhodnocuje, zda je infikovaný koncový bod součástí firemní domény nebo obsahuje data s vysokou hodnotou. Pokud není splněno ani jedno z kritérií, je NetSupport RAT záměrně zadržen, což naznačuje, že se provozovatelé snaží šetřit zdroje a zaměřit se na systémy nabízející nejvyšší návratnost.
Tento cílený přístup v kombinaci s manipulací s ClickFixem a propracovaným ekosystémem malwaru podtrhuje rostoucí sofistikovanost moderních operací kybernetické kriminality.
