EVALUSION ClickFix Campaign
Küberturbeanalüütikud on paljastanud jätkuva pahatahtliku tegevuse laine, mis tugineb suuresti laialt levinud ClickFixi sotsiaalse manipuleerimise meetodile. See kampaania, mida jälgitakse kui EVALUSION, kasutab seda tehnikat nii Amatera Stealeri kui ka NetSupport RAT-i levitamiseks, võimaldades ulatuslikku andmevargust ja kaugjuurdepääsu nakatunud süsteemidele.
Sisukord
ACR-ist Amaterani: varastaja evolutsioon
Esimesed märgid Amatera olemasolust ilmnesid 2025. aasta juunis, kui teadlased hindasid seda varasema ACR (AcridRain) Stealeri otseseks järeltulijaks, mis varem toimis pahavara teenusena tellimusmudeli alusel. Pärast ACR-i müügi lõppemist 2024. aasta juuli keskel ilmus Amatera oma astmelise hinnastruktuuriga, mis ulatus 199 dollarist kuus kuni 1499 dollarini aastas, muutes selle kättesaadavaks mitmesugustele ohuüksustele.
Põhjalikuks varguseks loodud võimalused
Amatera pakub laiaulatuslikke andmekogumisfunktsioone, mis on loodud mitut tüüpi kasutajateabe ohtu seadmiseks. Selle sihtmärgid ulatuvad krüptorahakottide, brauserite, sõnumsideklientide, FTP-utiliitide ja e-posti programmideni. Avastamise vältimiseks kasutab see täiustatud kõrvalehoidumistaktikaid, sealhulgas WoW64 SysCall'e, mis aitavad mööda hiilida tavalistest kasutajarežiimi jälgimistest, mida kasutavad liivakastid, viirusetõrjemootorid ja EDR-lahendused.
Peamised andmeeesmärgid hõlmavad järgmist:
- Krüptovaluuta rahakotid ja laiendused
- Veebibrauserid
- Populaarsed sõnumsideplatvormid
- FTP-kliendid
- E-posti rakendused
ClickFix tööl: nakatumisprotsess
Nagu paljudes ClickFixi stsenaariumides näha, veenatakse ohvreid käivitama Windowsi käivitamisdialoogis käsku, mille eesmärk on petturlikel andmepüügisaitidel võltsitud reCAPTCHA-väljakutse sooritamine. See käsk käivitab ahelreaktsiooni, mis hõlmab mshta.exe-d, mis käivitab PowerShelli skripti. Skript hangib MediaFire'is majutatud .NET-binaarfaili, luues sellega eeldused kasuliku sisu levitamiseks.
PureCrypter ja MSBuild: salajane tarneahel
Allalaaditud komponent on Amatera Stealer DLL, mis on peidetud PureCrypteri abil – see on mitmekülgne C#-põhine laadur, mida müüb ka MaaS-tootena arendaja PureCoder. Kui DLL on aktiivne, süstitakse see MSBuild.exe-sse, mis võimaldab varastajal hakata andmeid koguma. Seejärel loob see ühenduse välise serveriga ja käivitab PowerShelli käsu NetSupport RAT-i allalaadimiseks ja käivitamiseks.
Täitmisloogika läbib järgmised sammud:
- Kontrollib, kas süsteem kuulub domeeni
- Otsib potentsiaalselt väärtuslikke faile, näiteks krüptorahakottide andmeid
- Jätkake NetSupport RAT-i juurutamisega ainult siis, kui üks neist tingimustest on täidetud
Valitud sihtimine maksimaalse mõju saavutamiseks
Üks Amatera PowerShelli rutiini ebatavalisemaid aspekte on selle tingimuslik loogika. Varastaja hindab, kas nakatunud lõpp-punkt on osa ettevõtte domeenist või sisaldab väärtuslikke andmeid. Kui kumbki kriteerium ei ole täidetud, siis NetSupport RAT jäetakse tahtlikult vahele, mis viitab sellele, et operaatorid püüavad ressursse kokku hoida ja keskenduda süsteemidele, mis pakuvad suurimat tulu.
See sihipärane lähenemisviis koos ClickFixi manipuleerimise ja täiustatud pahavara ökosüsteemiga rõhutab tänapäevaste küberkuritegevuse operatsioonide üha keerukamat toimimist.
