Preventivo sconto multi-licenza
Database delle minacce Ladri EVALUSION Campagna ClickFix

EVALUSION Campagna ClickFix

Entro Mezo nel Ladri
Traduci in:

Gli analisti della sicurezza informatica hanno scoperto un'ondata continua di attività dannose che si basano in larga misura sul diffuso metodo di ingegneria sociale ClickFix. Questa campagna, monitorata come VALUTAZIONE, sfrutta la tecnica per distribuire sia Amatera Stealer che NetSupport RAT, consentendo un furto di dati su larga scala e l'accesso remoto ai sistemi infetti.

Da ACR ad Amatera: l’evoluzione di un ladro

I primi segnali di Amatera sono emersi a giugno 2025, quando i ricercatori lo hanno valutato come successore diretto del precedente ACR (AcridRain) Stealer, che in precedenza operava con un modello di abbonamento malware-as-a-service. Dopo la cessazione delle vendite di ACR a metà luglio 2024, Amatera è emersa con una propria struttura tariffaria a livelli, che andava da 199 dollari al mese a 1.499 dollari all'anno, rendendola accessibile a una varietà di autori di minacce.

Funzionalità progettate per un furto completo

Amatera offre ampie funzionalità di raccolta dati progettate per compromettere molteplici tipi di informazioni degli utenti. I suoi obiettivi si estendono a cripto-wallet, browser, client di messaggistica, utility FTP e programmi di posta elettronica. Per evitare di essere rilevato, impiega tattiche di elusione avanzate, tra cui le SysCall di WoW64, che lo aiutano a eludere il monitoraggio in modalità utente comunemente utilizzato da sandbox, motori antivirus e soluzioni EDR.

Gli obiettivi chiave dei dati includono:

  • Portafogli ed estensioni per criptovalute
  • browser web
  • Piattaforme di messaggistica popolari
  • client FTP
  • Applicazioni di posta elettronica

ClickFix al lavoro: il processo di infezione

Come si è visto in molti scenari ClickFix, le vittime vengono convinte a eseguire un comando nella finestra di dialogo Esegui di Windows con il pretesto di completare una falsa verifica reCAPTCHA su siti di phishing fraudolenti. Questo comando innesca una reazione a catena che coinvolge mshta.exe, che esegue uno script di PowerShell. Lo script recupera un binario .NET ospitato su MediaFire, preparando il terreno per la distribuzione del payload.

PureCrypter e MSBuild: una catena di distribuzione invisibile

Il componente scaricato è una DLL di Amatera Stealer mascherata tramite PureCrypter, un versatile loader basato su C# venduto anche come prodotto MaaS da uno sviluppatore noto come PureCoder. Una volta attiva, la DLL viene iniettata in MSBuild.exe, consentendo allo stealer di iniziare a raccogliere dati. Quindi, si collega a un server esterno ed esegue un comando PowerShell per scaricare e avviare NetSupport RAT.

La logica di esecuzione segue i seguenti passaggi:

  • Controlla se il sistema appartiene a un dominio
  • Cerca file potenzialmente preziosi, come i dati del portafoglio crittografico
  • Procede con la distribuzione di NetSupport RAT solo se una di queste condizioni è soddisfatta

Targeting selettivo per il massimo impatto

Uno degli aspetti più insoliti della routine PowerShell di Amatera è la sua logica condizionale. Lo stealer valuta se l'endpoint infetto fa parte di un dominio aziendale o contiene dati di alto valore. Se nessuno dei due criteri viene soddisfatto, NetSupport RAT viene intenzionalmente bloccato, suggerendo che gli operatori cercano di risparmiare risorse e concentrarsi sui sistemi che offrono il massimo ritorno.

Questo approccio mirato, abbinato alla manipolazione di ClickFix e a un raffinato ecosistema di malware, sottolinea la crescente sofisticatezza delle moderne operazioni di criminalità informatica.

Tendenza

I più visti

Caricamento in corso...