قیمت چند مجوز تخفیف
پایگاه داده تهدید دزدان EVALUSION ClickFix Campaign

EVALUSION ClickFix Campaign

تا Mezo در دزدان
ترجمه به:

تحلیلگران امنیت سایبری موج مداومی از فعالیت‌های مخرب را کشف کرده‌اند که به شدت به روش مهندسی اجتماعی گسترده ClickFix متکی است. این کمپین که با نام EVALUSION ردیابی می‌شود، از این تکنیک برای توزیع Amatera Stealer و NetSupport RAT استفاده می‌کند و امکان سرقت گسترده داده‌ها و دسترسی از راه دور به سیستم‌های آلوده را فراهم می‌کند.

از ACR تا Amatera: تکامل یک دزد

اولین نشانه‌های Amatera در ژوئن ۲۰۲۵ پدیدار شد، و محققان آن را به عنوان جانشین مستقیم ACR (AcridRain) Stealer قبلی ارزیابی کردند که قبلاً تحت مدل اشتراک بدافزار به عنوان سرویس فعالیت می‌کرد. پس از توقف فروش ACR در اواسط ژوئیه ۲۰۲۴، Amatera با ساختار قیمت‌گذاری پلکانی خود از ۱۹۹ دلار در ماه تا ۱۴۹۹ دلار در سال ظاهر شد و آن را برای انواع مختلف عوامل تهدید قابل دسترسی کرد.

قابلیت‌های ساخته شده برای سرقت جامع

آماترا ویژگی‌های گسترده‌ای برای جمع‌آوری داده‌ها ارائه می‌دهد که برای به خطر انداختن انواع مختلف اطلاعات کاربر طراحی شده‌اند. اهداف آن در سراسر کیف پول‌های رمزنگاری، مرورگرها، کلاینت‌های پیام‌رسان، ابزارهای FTP و برنامه‌های ایمیل گسترش می‌یابد. برای جلوگیری از شناسایی، از تاکتیک‌های پیشرفته‌ای برای فرار از شناسایی، از جمله WoW64 SysCalls، استفاده می‌کند که به آن کمک می‌کند تا از نظارت رایج در حالت کاربر که توسط جعبه‌های شنی، موتورهای AV و راه‌حل‌های EDR استفاده می‌شود، اجتناب کند.

اهداف کلیدی داده شامل موارد زیر است:

  • کیف پول‌ها و افزونه‌های ارز دیجیتال
  • مرورگرهای وب
  • پلتفرم‌های پیام‌رسان محبوب
  • کلاینت‌های FTP
  • برنامه‌های ایمیل

کلیک‌فیکس در محل کار: فرآیند آلودگی

همانطور که در بسیاری از سناریوهای ClickFix مشاهده می‌شود، قربانیان متقاعد می‌شوند که تحت پوشش تکمیل یک چالش جعلی reCAPTCHA در سایت‌های فیشینگ جعلی، یک دستور را در پنجره Run ویندوز اجرا کنند. این دستور یک واکنش زنجیره‌ای شامل mshta.exe را آغاز می‌کند که یک اسکریپت PowerShell را اجرا می‌کند. این اسکریپت یک فایل باینری .NET میزبانی شده در MediaFire را بازیابی می‌کند و زمینه را برای استقرار payload فراهم می‌کند.

PureCrypter و MSBuild: یک زنجیره تحویل مخفیانه

مؤلفه‌ی دانلود شده یک DLL از Amatera Stealer است که با استفاده از PureCrypter، یک لودر همه‌کاره مبتنی بر C# که به عنوان یک محصول MaaS توسط توسعه‌دهنده‌ای به نام PureCoder نیز فروخته می‌شود، پنهان شده است. پس از فعال شدن، DLL به MSBuild.exe تزریق می‌شود و به سارق اجازه می‌دهد تا شروع به جمع‌آوری داده‌ها کند. سپس به یک سرور خارجی متصل می‌شود و یک دستور PowerShell را برای دانلود و راه‌اندازی NetSupport RAT اجرا می‌کند.

منطق اجرا مراحل زیر را طی می‌کند:

  • بررسی می‌کند که آیا سیستم به یک دامنه تعلق دارد یا خیر
  • به دنبال فایل‌های بالقوه ارزشمند، مانند داده‌های کیف پول رمزنگاری شده، می‌گردد.
  • فقط در صورتی که یکی از این شرایط برآورده شود، استقرار NetSupport RAT ادامه می‌یابد

هدف‌گیری گزینشی برای حداکثر تأثیر

یکی از جنبه‌های غیرمعمول‌تر روال PowerShell در Amatera، منطق شرطی آن است. سارق ارزیابی می‌کند که آیا نقطه پایانی آلوده بخشی از یک دامنه شرکتی است یا حاوی داده‌های با ارزش بالا است. اگر هیچ یک از این معیارها برآورده نشود، NetSupport RAT عمداً مسدود می‌شود، که نشان می‌دهد اپراتورها به دنبال صرفه‌جویی در منابع و تمرکز بر سیستم‌هایی هستند که بیشترین بازده را ارائه می‌دهند.

این رویکرد هدفمند، همراه با دستکاری ClickFix و یک اکوسیستم بدافزار اصلاح‌شده، بر پیچیدگی روزافزون عملیات جرایم سایبری مدرن تأکید می‌کند.

پرطرفدار

Pexornero.co.in

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
حفظ امنیت آنلاین نیازمند آگاهی مداوم است، به خصوص هنگام مواجهه با سایت‌های ناآشنایی که از تاکتیک‌های فریبنده برای فریب بازدیدکنندگان استفاده می‌کنند. یکی از این تهدیدها، یک صفحه وب جعلی به نام...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
31,071
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...