EVALUSION ClickFix Campaign
Kyberturvallisuusanalyytikot ovat paljastaneet jatkuvan haitallisen toiminnan aallon, joka perustuu vahvasti laajalle levinneeseen ClickFix-sosiaalisen manipuloinnin menetelmään. Tämä EVALUSION-niminen kampanja hyödyntää tekniikkaa sekä Amatera Stealerin että NetSupport RATin levittämiseen, mikä mahdollistaa laajamittaisen tietovarkauden ja etäkäytön tartunnan saaneissa järjestelmissä.
Sisällysluettelo
ACR:stä Amateraan: Varkaan kehitys
Ensimmäiset merkit Amaterasta ilmestyivät kesäkuussa 2025, kun tutkijat arvioivat sen suorana seuraajana aiemmalle ACR (AcridRain) Stealerille, joka aiemmin toimi haittaohjelmapalveluna -tilausmallilla. ACR:n myynnin päättyessä heinäkuun puolivälissä 2024 Amatera ilmestyi omalla porrastetulla hinnoittelullaan, joka vaihteli 199 dollarista kuukaudessa 1 499 dollariin vuodessa, mikä teki siitä saatavilla olevan useille eri uhkatoimijoille.
Kattavia varkausominaisuuksia varten
Amatera tarjoaa laajan tiedonkeruuominaisuuden, joka on suunniteltu vaarantamaan useita erityyppisiä käyttäjätietoja. Sen kohteet ulottuvat kryptolompakoihin, selaimiin, viestiohjelmiin, FTP-apuohjelmiin ja sähköpostiohjelmiin. Havaitsemisen välttämiseksi se käyttää edistyneitä väistötaktiikoita, mukaan lukien WoW64 SysCalls, jotka auttavat sitä ohittamaan yleisen käyttäjätilan valvonnan, jota käyttävät hiekkalaatikot, virustorjuntaohjelmat ja EDR-ratkaisut.
Keskeisiä datatavoitteita ovat:
- Kryptovaluuttalompakot ja laajennukset
- Verkkoselaimet
- Suositut viestialustat
- FTP-asiakkaat
- Sähköpostisovellukset
ClickFix työssä: Tartuntaprosessi
Kuten monissa ClickFix-skenaarioissa on nähty, uhrit suostutellaan suorittamaan komento Windowsin Suorita-valintaikkunassa tekaistun reCAPTCHA-haasteen suorittamisen varjolla vilpillisillä tietojenkalastelusivustoilla. Tämä komento laukaisee ketjureaktion, johon liittyy mshta.exe-tiedosto, joka suorittaa PowerShell-skriptin. Skripti hakee MediaFiressä isännöidyn .NET-binääritiedoston, mikä valmistelee hyötykuormien käyttöönottoa.
PureCrypter ja MSBuild: salamyhkäinen toimitusketju
Ladattu komponentti on Amatera Stealer DLL, joka on piilotettu PureCrypterillä, monipuolisella C#-pohjaisella latausohjelmalla, jota PureCoder-niminen kehittäjä myy myös MaaS-tuotteena. Kun DLL on aktiivinen, se ruiskutetaan MSBuild.exe-tiedostoon, jolloin varastaja voi aloittaa tietojen keräämisen. Sitten se ottaa yhteyttä ulkoiseen palvelimeen ja suorittaa PowerShell-komennon ladatakseen ja käynnistääkseen NetSupport RATin.
Suorituslogiikka etenee seuraavien vaiheiden läpi:
- Tarkistaa, kuuluuko järjestelmä verkkotunnukseen
- Etsii mahdollisesti arvokkaita tiedostoja, kuten kryptolompakoiden tietoja
- Jatkaa NetSupport RAT -käyttöönottoa vain, jos yksi näistä ehdoista täyttyy
Valikoiva kohdentaminen maksimaalisen vaikutuksen saavuttamiseksi
Yksi Amateran PowerShell-rutiinin epätavallisimmista puolista on sen ehdollinen logiikka. Varastaja arvioi, onko tartunnan saanut päätepiste osa yrityksen verkkotunnusta vai sisältääkö se arvokasta dataa. Jos kumpikaan kriteeri ei täyty, NetSupport RAT estetään tarkoituksella, mikä viittaa siihen, että operaattorit pyrkivät säästämään resursseja ja keskittymään järjestelmiin, jotka tarjoavat parhaan tuoton.
Tämä kohdennettu lähestymistapa yhdistettynä ClickFix-manipulaatioon ja hienostuneeseen haittaohjelmaekosysteemiin korostaa nykyaikaisen kyberrikollisuuden kasvavaa monimutkaisuutta.
