Ponuda s popustom na više licenci
Baza prijetnji kradljivci EVALUCIJA ClickFix kampanje

EVALUCIJA ClickFix kampanje

Do Mezo. kradljivci. godine
Prevedi na:

Analitičari kibernetičke sigurnosti otkrili su stalni val zlonamjernih aktivnosti koje se uvelike oslanjaju na široko rasprostranjenu metodu društvenog inženjeringa ClickFix. Ova kampanja, praćena kao EVALUSION, koristi tehniku za distribuciju i Amatera Stealer i NetSupport RAT, omogućujući opsežnu krađu podataka i udaljeni pristup zaraženim sustavima.

Od ACR-a do Amatere: Evolucija kradljivca

Prvi znakovi Amatere pojavili su se u lipnju 2025., a istraživači su je procijenili kao izravnog nasljednika ranijeg ACR (AcridRain) Stealera, koji je prije radio po modelu pretplate na zlonamjerni softver kao uslugu. Nakon što je prodaja ACR-a prestala sredinom srpnja 2024., Amatera se pojavila s vlastitom višeslojnom strukturom cijena u rasponu od 199 USD mjesečno do 1499 USD godišnje, što ju je učinilo dostupnom raznim prijetnjama.

Mogućnosti izgrađene za sveobuhvatnu krađu

Amatera nudi širok spektar značajki prikupljanja podataka osmišljenih za kompromitiranje više vrsta korisničkih informacija. Njegove mete protežu se na kripto novčanike, preglednike, klijente za razmjenu poruka, FTP uslužne programe i programe za e-poštu. Kako bi izbjegla otkrivanje, koristi napredne taktike izbjegavanja, uključujući WoW64 SysCalls, koje joj pomažu da zaobiđe uobičajeno praćenje korisničkog načina rada koje koriste sandboxovi, AV mehanizmi i EDR rješenja.

Ključni ciljevi podataka uključuju:

  • Kripto novčanici i ekstenzije
  • Web preglednici
  • Popularne platforme za razmjenu poruka
  • FTP klijenti
  • Aplikacije za e-poštu

ClickFix na djelu: Proces infekcije

Kao što se vidi u mnogim ClickFix scenarijima, žrtve se uvjeravaju da pokrenu naredbu u dijalogu Pokreni sustava Windows pod krinkom dovršavanja lažnog reCAPTCHA izazova na lažnim phishing stranicama. Ova naredba pokreće lančanu reakciju koja uključuje mshta.exe, koji izvršava PowerShell skriptu. Skripta dohvaća .NET binarnu datoteku smještenu na MediaFireu, postavljajući temelje za implementaciju korisnog tereta.

PureCrypter i MSBuild: Prikriveni lanac isporuke

Preuzeta komponenta je Amatera Stealer DLL skriven pomoću PureCryptera, svestranog C# učitavača koji se također prodaje kao MaaS proizvod od strane programera poznatog kao PureCoder. Nakon što je aktivan, DLL se ubrizgava u MSBuild.exe, omogućujući kradljivcu da počne prikupljati podatke. Zatim se povezuje s vanjskim poslužiteljem i izvršava PowerShell naredbu za preuzimanje i pokretanje NetSupport RAT-a.

Logika izvršenja prolazi kroz sljedeće korake:

  • Provjerava pripada li sustav domeni
  • Traži potencijalno vrijedne datoteke, kao što su podaci kripto-novčanika
  • Nastavlja s implementacijom NetSupport RAT-a samo ako je ispunjen jedan od ovih uvjeta

Selektivno ciljanje za maksimalan učinak

Jedan od neobičnijih aspekata Amaterine PowerShell rutine je njezina uvjetna logika. Kradljivac procjenjuje je li zaražena krajnja točka dio korporativne domene ili sadrži podatke visoke vrijednosti. Ako nijedan kriterij nije ispunjen, NetSupport RAT se namjerno zadržava, što sugerira da operateri nastoje uštedjeti resurse i usredotočiti se na sustave koji nude najveći povrat.

Ovaj ciljani pristup, u kombinaciji s manipulacijom ClickFixa i profinjenim ekosustavom zlonamjernog softvera, naglašava sve veću sofisticiranost modernih operacija kibernetičkog kriminala.

U trendu

Nagledanije

Učitavam...