הצעת הנחה מרובה רישיונות
מסד נתונים של איומים גונבים EVALUSION ClickFix Campaign

EVALUSION ClickFix Campaign

עד Mezo ב-גונבים
לתרגם ל:

אנליסטים בתחום אבטחת הסייבר חשפו גל מתמשך של פעילות זדונית, המסתמכת במידה רבה על שיטת ההנדסה החברתית הנפוצה ClickFix. קמפיין זה, המנוהל תחת השם EVALUSION, ממנף את הטכניקה להפצת Amatera Stealer ו-NetSupport RAT, מה שמאפשר גניבת נתונים נרחבת וגישה מרחוק למערכות נגועות.

מ-ACR לאמטרה: האבולוציה של גנב

הסימנים הראשונים של Amatera הופיעו ביוני 2025, כאשר חוקרים העריכו אותה כיורשת ישירה של ACR (AcridRain) Stealer הקודמת, שפעלה בעבר תחת מודל מנוי של תוכנות זדוניות כשירות. לאחר שמכירות ACR פסקו באמצע יולי 2024, Amatera צצה עם מבנה תמחור מדורג משלה שנע בין 199 דולר לחודש ל-1,499 דולר לשנה, מה שהפך אותה לנגישה למגוון גורמי איום.

יכולות שנבנו עבור גניבה מקיפה

Amatera מציעה מגוון רחב של תכונות איסוף נתונים שנועדו לחשוף סוגים רבים של מידע על משתמשים. מטרותיה משתרעות על פני ארנקי קריפטו, דפדפנים, לקוחות העברת הודעות, כלי שירות FTP ותוכנות דוא"ל. כדי להימנע מגילוי, היא משתמשת בטקטיקות התחמקות מתקדמות, כולל WoW64 SysCalls, המסייעות לה לעקוף ניטור נפוץ של מצב משתמש המשמש ארגזי חול, מנועי AV ופתרונות EDR.

יעדי נתונים מרכזיים כוללים:

  • ארנקים והרחבות של מטבעות קריפטוגרפיים
  • דפדפני אינטרנט
  • פלטפורמות העברת הודעות פופולריות
  • לקוחות FTP
  • יישומי דוא"ל

ClickFix בעבודה: תהליך ההדבקה

כפי שניתן לראות בתרחישים רבים של ClickFix, קורבנות משוכנעים להריץ פקודה בתיבת הדו-שיח הפעלה של Windows תחת מסווה של השלמת אתגר reCAPTCHA מזויף באתרי פישינג הונאה. פקודה זו מפעילה תגובת שרשרת הכוללת mshta.exe, אשר מבצע סקריפט PowerShell. הסקריפט מאחזר קובץ בינארי .NET המתארח ב-MediaFire, ומכין את הבמה לפריסת מטען.

PureCrypter ו-MSBuild: שרשרת משלוחים חשאית

הרכיב שהורד הוא קובץ DLL של Amatera Stealer שמוסתר באמצעות PureCrypter, טוען רב-תכליתי מבוסס C# שנמכר גם כמוצר MaaS על ידי מפתח בשם PureCoder. לאחר פעילותו, קובץ ה-DLL מוזרק לתוך MSBuild.exe, מה שמאפשר לגונב להתחיל לאסוף נתונים. לאחר מכן הוא פונה לשרת חיצוני ומבצע פקודת PowerShell כדי להוריד ולהפעיל את NetSupport RAT.

לוגיקת הביצוע עוברת דרך השלבים הבאים:

  • בודק אם המערכת שייכת לדומיין
  • מחפש קבצים בעלי ערך פוטנציאלי, כגון נתוני ארנק קריפטו
  • ממשיך עם פריסת NetSupport RAT רק אם אחד מהתנאים הבאים מתקיים

מיקוד סלקטיבי להשפעה מקסימלית

אחד ההיבטים היותר יוצאי דופן של שגרת PowerShell של Amatera הוא הלוגיקה המותנית שלה. הגנבת מעריכה האם נקודת הקצה הנגועה היא חלק מדומיין תאגידי או מכילה נתונים בעלי ערך גבוה. אם אף אחד מהקריטריונים לא מתקיים, גישה ל-NetSupport RAT נמנעת במכוון, דבר המצביע על כך שהמפעילים מבקשים לחסוך במשאבים ולהתמקד במערכות המציעות את התשואה הגדולה ביותר.

גישה ממוקדת זו, בשילוב עם מניפולציה של ClickFix ומערכת אקולוגית מעודנת של תוכנות זדוניות, מדגישה את התחכום הגובר של פעולות פשעי סייבר מודרניות.

מגמות

דלת אחורית של TAMECAT

תוכנה זדונית, איום מתמשך מתקדם (APT), דלתות אחוריות
גל של פעילות ריגול הקשורה לארגון APT42, המזוהה עם איראן, צץ, כאשר אנליסטים צופים במאמץ ממוקד נגד יחידים וארגונים המקושרים לאינטרסים של משמרות המהפכה האסלאמיים (IRGC). מבצע זה, שזוהה בתחילת ספטמבר...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
31,071
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...