मूल्यांकन क्लिकफिक्स अभियान

साइबर सुरक्षा विश्लेषकों ने व्यापक ClickFix सोशल-इंजीनियरिंग पद्धति पर अत्यधिक निर्भर दुर्भावनापूर्ण गतिविधियों की एक निरंतर लहर का खुलासा किया है। EVALUSION के रूप में ट्रैक किया गया यह अभियान, Amatera Stealer और NetSupport RAT दोनों को वितरित करने के लिए इस तकनीक का लाभ उठाता है, जिससे संक्रमित सिस्टम पर व्यापक डेटा चोरी और दूरस्थ पहुँच संभव हो जाती है।

एसीआर से अमाटेरा तक: एक चोर का विकास

अमाटेरा के पहले संकेत जून 2025 में सामने आए, जब शोधकर्ताओं ने इसे पहले के एसीआर (एक्रिड्रेन) स्टीलर का प्रत्यक्ष उत्तराधिकारी माना, जो पहले मैलवेयर-एज़-ए-सर्विस सब्सक्रिप्शन मॉडल के तहत संचालित होता था। जुलाई 2024 के मध्य में एसीआर की बिक्री बंद होने के बाद, अमाटेरा अपनी स्वयं की स्तरीय मूल्य संरचना के साथ सामने आया, जिसकी सीमा $199 प्रति माह से $1,499 प्रति वर्ष तक थी, जिससे यह विभिन्न प्रकार के ख़तरनाक कारकों के लिए सुलभ हो गया।

व्यापक चोरी के लिए निर्मित क्षमताएँ

अमाटेरा व्यापक डेटा-संग्रह सुविधाएँ प्रदान करता है जो विभिन्न प्रकार की उपयोगकर्ता जानकारी को जोखिम में डालने के लिए डिज़ाइन की गई हैं। इसके लक्ष्य क्रिप्टो-वॉलेट, ब्राउज़र, मैसेजिंग क्लाइंट, FTP यूटिलिटीज़ और ईमेल प्रोग्राम तक फैले हुए हैं। पता लगाने से बचने के लिए, यह WoW64 SysCalls सहित उन्नत चोरी की रणनीतियाँ अपनाता है, जो इसे सैंडबॉक्स, AV इंजन और EDR समाधानों द्वारा उपयोग की जाने वाली सामान्य उपयोगकर्ता-मोड निगरानी से बचने में मदद करती हैं।

प्रमुख डेटा लक्ष्यों में शामिल हैं:

• क्रिप्टोकरेंसी वॉलेट और एक्सटेंशन
• वेब ब्राउज़र
• लोकप्रिय मैसेजिंग प्लेटफ़ॉर्म
• FTP क्लाइंट
• ईमेल अनुप्रयोग

कार्यस्थल पर ClickFix: संक्रमण प्रक्रिया

जैसा कि कई ClickFix परिदृश्यों में देखा गया है, पीड़ितों को धोखाधड़ी वाली फ़िशिंग साइटों पर एक नकली reCAPTCHA चुनौती पूरी करने के बहाने Windows Run डायलॉग बॉक्स में एक कमांड चलाने के लिए राज़ी किया जाता है। यह कमांड mshta.exe से जुड़ी एक श्रृंखलाबद्ध प्रतिक्रिया को ट्रिगर करता है, जो एक PowerShell स्क्रिप्ट को निष्पादित करता है। यह स्क्रिप्ट MediaFire पर होस्ट किए गए .NET बाइनरी को पुनर्प्राप्त करती है, जिससे पेलोड परिनियोजन की प्रक्रिया शुरू होती है।

PureCrypter और MSBuild: एक गुप्त वितरण श्रृंखला

डाउनलोड किया गया घटक एक Amatera Stealer DLL है जिसे PureCrypter का उपयोग करके छुपाया गया है। PureCrypter एक बहुमुखी C#-आधारित लोडर है जिसे PureCoder नामक डेवलपर द्वारा MaaS उत्पाद के रूप में भी बेचा जाता है। सक्रिय होने पर, DLL को MSBuild.exe में इंजेक्ट किया जाता है, जिससे स्टीलर डेटा एकत्र करना शुरू कर देता है। फिर यह एक बाहरी सर्वर से जुड़ता है और NetSupport RAT को डाउनलोड और लॉन्च करने के लिए एक PowerShell कमांड निष्पादित करता है।

निष्पादन तर्क निम्नलिखित चरणों से गुजरता है:

• जाँचता है कि सिस्टम किसी डोमेन से संबंधित है या नहीं
• संभावित रूप से मूल्यवान फ़ाइलों की तलाश करता है, जैसे कि क्रिप्टो-वॉलेट डेटा
• NetSupport RAT परिनियोजन तभी आगे बढ़ता है जब इनमें से कोई एक शर्त पूरी होती है

अधिकतम प्रभाव के लिए चयनात्मक लक्ष्यीकरण

अमाटेरा के पावरशेल रूटीन का एक और असामान्य पहलू इसका सशर्त तर्क है। स्टीलर यह मूल्यांकन करता है कि संक्रमित एंडपॉइंट किसी कॉर्पोरेट डोमेन का हिस्सा है या उसमें उच्च-मूल्य वाला डेटा है। यदि कोई भी मानदंड पूरा नहीं होता है, तो नेटसपोर्ट आरएटी जानबूझकर रोक दिया जाता है, जिससे यह संकेत मिलता है कि ऑपरेटर संसाधनों का संरक्षण करना चाहते हैं और सबसे अधिक लाभ देने वाले सिस्टम पर ध्यान केंद्रित करना चाहते हैं।

यह लक्षित दृष्टिकोण, क्लिकफिक्स हेरफेर और एक परिष्कृत मैलवेयर पारिस्थितिकी तंत्र के साथ मिलकर, आधुनिक साइबर अपराध संचालन की बढ़ती परिष्कृतता को रेखांकित करता है।