EVALUSION ClickFix-kampagne

Cybersikkerhedsanalytikere har afdækket en igangværende bølge af ondsindet aktivitet, der i høj grad er afhængig af den udbredte ClickFix social engineering-metode. Denne kampagne, der spores som EVALUSION, udnytter teknikken til at distribuere både Amatera Stealer og NetSupport RAT, hvilket muliggør omfattende datatyveri og fjernadgang til inficerede systemer.

Fra ACR til Amatera: En tyvers udvikling

De første tegn på Amatera dukkede op i juni 2025, hvor forskere vurderede det som en direkte efterfølger til den tidligere ACR (AcridRain) Stealer, der tidligere fungerede under en malware-as-a-service abonnementsmodel. Efter at ACR-salget ophørte i midten af juli 2024, dukkede Amatera op med sin egen trindelte prisstruktur, der spændte fra $199 om måneden til $1.499 om året, hvilket gjorde det tilgængeligt for en række trusselsaktører.

Funktioner bygget til omfattende tyveri

Amatera tilbyder brede dataindsamlingsfunktioner designet til at kompromittere flere typer brugeroplysninger. Dens mål strækker sig over kryptowallets, browsere, beskedklienter, FTP-værktøjer og e-mailprogrammer. For at undgå opdagelse anvender den avancerede undvigelsestaktikker, herunder WoW64 SysCalls, som hjælper den med at omgå almindelig brugertilstandsovervågning, der bruges af sandkasser, AV-motorer og EDR-løsninger.

Vigtige datamål omfatter:

• Kryptovaluta-tegnebøger og -udvidelser
• Webbrowsere
• Populære beskedplatforme
• FTP-klienter
• E-mail-applikationer

ClickFix på arbejdspladsen: Infektionsprocessen

Som set i mange ClickFix-scenarier, bliver ofrene overtalt til at køre en kommando i Windows Kør-dialogboksen under dække af at udføre en falsk reCAPTCHA-udfordring på falske phishing-sider. Denne kommando udløser en kædereaktion, der involverer mshta.exe, som udfører et PowerShell-script. Scriptet henter en .NET-binærfil, der hostes på MediaFire, hvilket lægger grunden til implementering af nyttelast.

PureCrypter og MSBuild: En skjult leveringskæde

Den downloadede komponent er en Amatera Stealer DLL skjult ved hjælp af PureCrypter, en alsidig C#-baseret loader, der også sælges som et MaaS-produkt af en udvikler kendt som PureCoder. Når den er aktiv, injiceres DLL'en i MSBuild.exe, så stealeren kan begynde at indsamle data. Den kontakter derefter en ekstern server og udfører en PowerShell-kommando for at downloade og starte NetSupport RAT.

Udførelseslogikken gennemgår følgende trin:

• Kontrollerer om systemet tilhører et domæne
• Søger efter potentielt værdifulde filer, såsom krypto-wallet-data
• Fortsætter kun med NetSupport RAT-implementering, hvis en af disse betingelser er opfyldt

Selektiv målretning for maksimal effekt

Et af de mere usædvanlige aspekter ved Amateras PowerShell-rutine er dens betingede logik. Stjæleren evaluerer, om det inficerede endpoint er en del af et virksomhedsdomæne eller indeholder data af høj værdi. Hvis ingen af kriterierne er opfyldt, tilbageholdes NetSupport RAT bevidst, hvilket antyder, at operatørerne søger at spare ressourcer og fokusere på systemer, der tilbyder det største afkast.

Denne målrettede tilgang, kombineret med ClickFix-manipulation og et raffineret malware-økosystem, understreger den stigende sofistikering af moderne cyberkriminalitetsoperationer.