EVALUSION ClickFix kampány

Kiberbiztonsági elemzők egy folyamatban lévő rosszindulatú tevékenységi hullámot tártak fel, amely nagymértékben támaszkodik a széles körben elterjedt ClickFix social engineering módszerre. Ez az EVALUSION néven nyomon követett kampány ezt a technikát használja az Amatera Stealer és a NetSupport RAT terjesztésére, lehetővé téve a kiterjedt adatlopást és a távoli hozzáférést a fertőzött rendszereken.

Az ACR-től az Amateráig: Egy tolvaj evolúciója

Az Amatera első jelei 2025 júniusában jelentek meg, a kutatók a korábbi ACR (AcridRain) Stealer közvetlen utódjaként értékelték, amely korábban egy kártevő-szolgáltatásként nyújtott előfizetéses modell alapján működött. Miután az ACR értékesítése 2024. július közepén megszűnt, az Amatera megjelent saját, többszintű árképzési struktúrájával, amely havi 199 dollártól évi 1499 dollárig terjedt, így számos fenyegető szereplő számára elérhetővé vált.

Átfogó lopáshoz tervezett képességek

Az Amatera széleskörű adatgyűjtési funkciókat kínál, amelyek célja a különféle felhasználói információk kiszivárogtatása. Céljai kriptovaluta-tárcákra, böngészőkre, üzenetküldő kliensekre, FTP-segédprogramokra és e-mail programokra egyaránt kiterjednek. Az észlelés elkerülése érdekében fejlett kijátszási taktikákat alkalmaz, beleértve a WoW64 SysCall hívásokat, amelyek segítenek megkerülni a sandboxok, vírusirtó motorok és EDR-megoldások által használt gyakori felhasználói módú monitorozást.

A legfontosabb adatcélok a következők:

• Kriptovaluta tárcák és bővítmények
• Webböngészők
• Népszerű üzenetküldő platformok
• FTP-kliensek
• E-mail alkalmazások

ClickFix működés közben: A fertőzési folyamat

Ahogyan az számos ClickFix forgatókönyvben látható, az áldozatokat ráveszik egy parancs futtatására a Windows Futtatás párbeszédpanelen, egy hamis reCAPTCHA feladat végrehajtásának álcája alatt csalárd adathalász oldalakon. Ez a parancs egy láncreakciót indít el, amely magában foglalja az mshta.exe fájlt, amely egy PowerShell szkriptet hajt végre. A szkript lekér egy MediaFire-en tárolt .NET bináris fájlt, előkészítve a hasznos adatok telepítését.

PureCrypter és MSBuild: Egy titkos kézbesítési lánc

A letöltött komponens egy Amatera Stealer DLL, amelyet a PureCrypter segítségével rejtettek el. Ez egy sokoldalú C# alapú betöltő, amelyet MaaS termékként is forgalmaz a PureCoder nevű fejlesztő. Aktiválás után a DLL beépül az MSBuild.exe fájlba, lehetővé téve a tolvaj számára az adatok gyűjtésének megkezdését. Ezután kapcsolatba lép egy külső szerverrel, és egy PowerShell parancsot hajt végre a NetSupport RAT letöltéséhez és elindításához.

A végrehajtási logika a következő lépéseken megy keresztül:

• Ellenőrzi, hogy a rendszer egy tartományhoz tartozik-e
• Potenciálisan értékes fájlokat keres, például kriptovaluta-tárca adatokat
• Csak akkor folytatja a NetSupport RAT telepítését, ha a következő feltételek valamelyike teljesül

Szelektív célzás a maximális hatás érdekében

Az Amatera PowerShell rutinjának egyik szokatlanabb aspektusa a feltételes logikája. A lopó program ellenőrzi, hogy a fertőzött végpont egy vállalati domain része-e, vagy nagy értékű adatokat tartalmaz-e. Ha egyik feltétel sem teljesül, a NetSupport RAT szándékosan visszatartásra kerül, ami arra utal, hogy az operátorok az erőforrások megtakarítására törekszenek, és a legnagyobb megtérülést kínáló rendszerekre összpontosítanak.

Ez a célzott megközelítés, a ClickFix manipulációval és a kifinomult rosszindulatú ökoszisztémával kombinálva, kiemeli a modern kiberbűnözési műveletek egyre kifinomultabb jellegét.