ΑΞΙΟΛΟΓΗΣΗ Καμπάνια ClickFix
Οι αναλυτές κυβερνοασφάλειας αποκάλυψαν ένα συνεχιζόμενο κύμα κακόβουλης δραστηριότητας που βασίζεται σε μεγάλο βαθμό στην ευρέως διαδεδομένη μέθοδο κοινωνικής μηχανικής ClickFix. Αυτή η καμπάνια, που παρακολουθείται ως EVALUSION, αξιοποιεί την τεχνική για τη διανομή τόσο του Amatera Stealer όσο και του NetSupport RAT, επιτρέποντας εκτεταμένη κλοπή δεδομένων και απομακρυσμένη πρόσβαση σε μολυσμένα συστήματα.
Πίνακας περιεχομένων
Από το ACR στο Amatera: Η Εξέλιξη ενός Κλέφτη
Τα πρώτα σημάδια του Amatera εμφανίστηκαν τον Ιούνιο του 2025, με τους ερευνητές να το αξιολογούν ως άμεσο διάδοχο του προηγούμενου ACR (AcridRain) Stealer, το οποίο προηγουμένως λειτουργούσε με ένα μοντέλο συνδρομής malware-as-a-service. Μετά τη διακοπή των πωλήσεων του ACR στα μέσα Ιουλίου 2024, το Amatera εμφανίστηκε με τη δική του κλιμακωτή δομή τιμολόγησης που κυμαινόταν από 199 $ ανά μήνα έως 1.499 $ ανά έτος, καθιστώντας το προσβάσιμο σε μια ποικιλία απειλητικών φορέων.
Δυνατότητες που έχουν σχεδιαστεί για ολοκληρωμένη κλοπή
Το Amatera προσφέρει ευρείες λειτουργίες συλλογής δεδομένων που έχουν σχεδιαστεί για να παραβιάζουν πολλαπλούς τύπους πληροφοριών χρηστών. Οι στόχοι του εκτείνονται σε κρυπτογραφικά πορτοφόλια, προγράμματα περιήγησης, προγράμματα-πελάτες ανταλλαγής μηνυμάτων, βοηθητικά προγράμματα FTP και προγράμματα email. Για να αποφύγει τον εντοπισμό, χρησιμοποιεί προηγμένες τακτικές αποφυγής, συμπεριλαμβανομένων των WoW64 SysCalls, οι οποίες το βοηθούν να παρακάμπτει την κοινή παρακολούθηση λειτουργίας χρήστη που χρησιμοποιείται από sandboxes, μηχανές AV και λύσεις EDR.
Οι βασικοί στόχοι δεδομένων περιλαμβάνουν:
- Πορτοφόλια και επεκτάσεις κρυπτονομισμάτων
- Προγράμματα περιήγησης ιστού
- Δημοφιλείς πλατφόρμες ανταλλαγής μηνυμάτων
- Πελάτες FTP
- Εφαρμογές ηλεκτρονικού ταχυδρομείου
ClickFix στην εργασία: Η διαδικασία μόλυνσης
Όπως φαίνεται σε πολλά σενάρια ClickFix, τα θύματα πείθονται να εκτελέσουν μια εντολή στο παράθυρο διαλόγου Εκτέλεση των Windows με το πρόσχημα της ολοκλήρωσης μιας ψεύτικης πρόκλησης reCAPTCHA σε δόλιες ιστοσελίδες ηλεκτρονικού "ψαρέματος" (phishing). Αυτή η εντολή ενεργοποιεί μια αλυσιδωτή αντίδραση που περιλαμβάνει το mshta.exe, το οποίο εκτελεί ένα σενάριο PowerShell. Το σενάριο ανακτά ένα δυαδικό αρχείο .NET που φιλοξενείται στο MediaFire, προετοιμάζοντας το έδαφος για την ανάπτυξη ωφέλιμου φορτίου.
PureCrypter και MSBuild: Μια κρυφή αλυσίδα παράδοσης
Το ληφθέν στοιχείο είναι ένα DLL Amatera Stealer που αποκρύπτεται χρησιμοποιώντας το PureCrypter, ένα ευέλικτο πρόγραμμα φόρτωσης που βασίζεται σε C#, το οποίο πωλείται επίσης ως προϊόν MaaS από έναν προγραμματιστή γνωστό ως PureCoder. Μόλις ενεργοποιηθεί, το DLL εγχέεται στο MSBuild.exe, επιτρέποντας στον κλέφτη να ξεκινήσει τη συλλογή δεδομένων. Στη συνέχεια, επικοινωνεί με έναν εξωτερικό διακομιστή και εκτελεί μια εντολή PowerShell για να κατεβάσει και να εκκινήσει το NetSupport RAT.
Η λογική εκτέλεσης ακολουθεί τα ακόλουθα βήματα:
- Ελέγχει αν το σύστημα ανήκει σε έναν τομέα
- Αναζητά πιθανώς πολύτιμα αρχεία, όπως δεδομένα κρυπτογραφικού πορτοφολιού
- Προχωρά με την ανάπτυξη του NetSupport RAT μόνο εάν πληρούται μία από αυτές τις προϋποθέσεις
Επιλεκτική στόχευση για μέγιστο αντίκτυπο
Μία από τις πιο ασυνήθιστες πτυχές της ρουτίνας PowerShell της Amatera είναι η υπό όρους λογική της. Ο κλέφτης αξιολογεί εάν το μολυσμένο τελικό σημείο αποτελεί μέρος ενός εταιρικού τομέα ή περιέχει δεδομένα υψηλής αξίας. Εάν δεν πληρούται κανένα από τα δύο κριτήρια, το NetSupport RAT αποκρύπτεται σκόπιμα, γεγονός που υποδηλώνει ότι οι χειριστές επιδιώκουν να εξοικονομήσουν πόρους και να επικεντρωθούν σε συστήματα που προσφέρουν τη μεγαλύτερη απόδοση.
Αυτή η στοχευμένη προσέγγιση, σε συνδυασμό με τον χειρισμό του ClickFix και ένα βελτιωμένο οικοσύστημα κακόβουλου λογισμικού, υπογραμμίζει την αυξανόμενη πολυπλοκότητα των σύγχρονων επιχειρήσεων κατά του κυβερνοεγκλήματος.
