ការវាយតម្លៃយុទ្ធនាការ ClickFix

អ្នកវិភាគសុវត្ថិភាពតាមអ៊ីនធឺណិតបានរកឃើញរលកនៃសកម្មភាពព្យាបាទដែលកំពុងបន្តពឹងផ្អែកយ៉ាងខ្លាំងលើវិធីសាស្ត្រវិស្វកម្មសង្គម ClickFix ដែលរីករាលដាល។ យុទ្ធនាការនេះ ដែលត្រូវបានតាមដានជា EVALUSION ប្រើប្រាស់បច្ចេកទេសដើម្បីចែកចាយទាំង Amatera Stealer និង NetSupport RAT ដែលអនុញ្ញាតឱ្យមានការលួចទិន្នន័យយ៉ាងទូលំទូលាយ និងការចូលប្រើពីចម្ងាយនៅលើប្រព័ន្ធដែលមានមេរោគ។

ពី ACR ទៅ Amatera: ការវិវត្តន៍នៃអ្នកលួច

សញ្ញាដំបូងនៃ Amatera បានលេចចេញនៅខែមិថុនា ឆ្នាំ 2025 ដោយមានអ្នកស្រាវជ្រាវវាយតម្លៃថាវាជាអ្នកស្នងបន្តផ្ទាល់ទៅនឹង ACR (AcridRain) Stealer ដែលពីមុនបានដំណើរការក្រោមគំរូនៃការជាវ malware-as-a-service ។ បន្ទាប់ពីការលក់ ACR បានឈប់នៅពាក់កណ្តាលខែកក្កដា ឆ្នាំ 2024 Amatera បានចាប់ផ្តើមជាមួយនឹងរចនាសម្ព័ន្ធតម្លៃលំដាប់ថ្នាក់របស់ខ្លួនចាប់ពី $199 ក្នុងមួយខែដល់ $1,499 ក្នុងមួយឆ្នាំ ដែលធ្វើឱ្យវាអាចចូលដំណើរការបានសម្រាប់តួអង្គគំរាមកំហែងជាច្រើន។

សមត្ថភាពត្រូវបានបង្កើតឡើងសម្រាប់ការលួចដ៏ទូលំទូលាយ

Amatera ផ្តល់នូវមុខងារប្រមូលទិន្នន័យយ៉ាងទូលំទូលាយ ដែលត្រូវបានរចនាឡើងដើម្បីសម្របសម្រួលព័ត៌មានអ្នកប្រើប្រាស់ជាច្រើនប្រភេទ។ គោលដៅរបស់វាពង្រីកនៅទូទាំង crypto-wallets, កម្មវិធីរុករកតាមអ៊ីនធឺណិត, កម្មវិធីផ្ញើសារ, ឧបករណ៍ប្រើប្រាស់ FTP និងកម្មវិធីអ៊ីមែល។ ដើម្បីជៀសវាងការរកឃើញ វាប្រើប្រាស់វិធីសាស្ត្រគេចវេសកម្រិតខ្ពស់ រួមទាំង WoW64 SysCalls ដែលជួយវាឱ្យចៀសផុតពីការត្រួតពិនិត្យរបៀបអ្នកប្រើប្រាស់ទូទៅដែលប្រើដោយប្រអប់ខ្សាច់ ម៉ាស៊ីន AV និងដំណោះស្រាយ EDR ។

គោលដៅទិន្នន័យសំខាន់ៗរួមមាន:

• កាបូប Cryptocurrency និងផ្នែកបន្ថែម
• កម្មវិធីរុករកតាមអ៊ីនធឺណិត
• វេទិកាផ្ញើសារពេញនិយម
• ម៉ាស៊ីនភ្ញៀវ FTP
• កម្មវិធីអ៊ីមែល

ClickFix at Work: ដំណើរការឆ្លង

ដូចដែលបានឃើញនៅក្នុងសេណារីយ៉ូ ClickFix ជាច្រើន ជនរងគ្រោះត្រូវបានបញ្ចុះបញ្ចូលឱ្យដំណើរការពាក្យបញ្ជានៅក្នុងប្រអប់ Windows Run ក្រោមការក្លែងបន្លំនៃការបញ្ចប់ការប្រឈម reCAPTCHA ក្លែងក្លាយនៅលើគេហទំព័របន្លំបន្លំ។ ពាក្យបញ្ជានេះបង្កឱ្យមានប្រតិកម្មខ្សែសង្វាក់ដែលពាក់ព័ន្ធនឹង mshta.exe ដែលដំណើរការស្គ្រីប PowerShell ។ ស្គ្រីបទាញយកប្រព័ន្ធគោលពីរ .NET ដែលបង្ហោះនៅលើ MediaFire ដោយកំណត់ដំណាក់កាលសម្រាប់ការដាក់ពង្រាយ payload ។

PureCrypter និង MSBuild: ខ្សែសង្វាក់ដឹកជញ្ជូនដែលលួចលាក់

សមាសភាគដែលបានទាញយកគឺជា Amatera Stealer DLL ដែលលាក់ដោយប្រើប្រាស់ PureCrypter ដែលជាកម្មវិធីផ្ទុកទិន្នន័យដែលមានមូលដ្ឋានលើ C# ដែលអាចប្រើបានផងដែរដែលត្រូវបានលក់ជាផលិតផល MaaS ដោយអ្នកអភិវឌ្ឍន៍ដែលគេស្គាល់ថា PureCoder ។ នៅពេលដែលសកម្ម DLL ត្រូវបានចាក់ចូលទៅក្នុង MSBuild.exe ដែលអនុញ្ញាតឱ្យអ្នកលួចចាប់ផ្តើមប្រមូលទិន្នន័យ។ បន្ទាប់មកវាទៅដល់ម៉ាស៊ីនមេខាងក្រៅ ហើយប្រតិបត្តិពាក្យបញ្ជា PowerShell ដើម្បីទាញយក និងបើកដំណើរការ NetSupport RAT ។

តក្កវិជ្ជាប្រតិបត្តិឆ្លងកាត់ជំហានដូចខាងក្រោមៈ

• ពិនិត្យមើលថាតើប្រព័ន្ធនេះជាកម្មសិទ្ធិរបស់ដែនឬអត់
• រកមើលឯកសារដែលមានសក្តានុពល ដូចជាទិន្នន័យ crypto-wallet ជាដើម។
• បន្តជាមួយការដាក់ពង្រាយ NetSupport RAT លុះត្រាតែលក្ខខណ្ឌមួយក្នុងចំណោមលក្ខខណ្ឌទាំងនេះត្រូវបានបំពេញ

ការជ្រើសរើសគោលដៅសម្រាប់ផលប៉ះពាល់អតិបរមា

ទិដ្ឋភាពមិនធម្មតាមួយនៃទម្លាប់ PowerShell របស់ Amatera គឺតក្កវិជ្ជាតាមលក្ខខណ្ឌរបស់វា។ អ្នកលួចវាយតម្លៃថាតើចំណុចបញ្ចប់ដែលឆ្លងមេរោគគឺជាផ្នែកមួយនៃដែនសាជីវកម្ម ឬមានទិន្នន័យមានតម្លៃខ្ពស់។ ប្រសិនបើលក្ខណៈវិនិច្ឆ័យទាំងពីរមិនត្រូវបានបំពេញនោះ NetSupport RAT ត្រូវបានរារាំងដោយចេតនា ដោយស្នើឱ្យប្រតិបត្តិករស្វែងរកការអភិរក្សធនធាន និងផ្តោតលើប្រព័ន្ធដែលផ្តល់នូវការត្រឡប់មកវិញដ៏អស្ចារ្យបំផុត។

វិធីសាស្រ្តកំណត់គោលដៅនេះ រួមផ្សំជាមួយនឹងឧបាយកល ClickFix និងប្រព័ន្ធអេកូមេរោគដែលចម្រាញ់ គូសបញ្ជាក់ពីការកើនឡើងនៃប្រតិបត្តិការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតទំនើប។