VERTINIMAS „ClickFix“ kampanija
Kibernetinio saugumo analitikai atskleidė tebesitęsiantį kenkėjiškos veiklos bangą, kuri daugiausia remiasi plačiai paplitusiu „ClickFix“ socialinės inžinerijos metodu. Ši kampanija, vadinama EVALUSION, naudoja šį metodą „Amatera Stealer“ ir „NetSupport RAT“ platinimui, sudarydama sąlygas didelio masto duomenų vagystėms ir nuotolinei prieigai prie užkrėstų sistemų.
Turinys
Nuo ACR iki Amateros: vagies evoliucija
Pirmieji „Amatera“ požymiai pasirodė 2025 m. birželį, kai tyrėjai įvertino ją kaip tiesioginį ankstesnio ACR („AcridRain“) „Stealer“, kuris anksčiau veikė pagal kenkėjiškų programų kaip paslaugos prenumeratos modelį, įpėdinį. 2024 m. liepos viduryje nutraukus ACR pardavimus, „Amatera“ pasirodė su savo pakopine kainodaros struktūra nuo 199 USD per mėnesį iki 1499 USD per metus, todėl ji buvo prieinama įvairiems grėsmių skleidėjams.
Galimybės, sukurtos visapusiškam vagysčių tyrimui
„Amatera“ siūlo plačias duomenų rinkimo funkcijas, skirtas įvairių tipų naudotojų informacijai pavogti. Jos taikiniai apima kriptovaliutų pinigines, naršykles, pranešimų klientus, FTP programas ir el. pašto programas. Siekdama išvengti aptikimo, ji naudoja pažangias apėjimo taktikas, įskaitant „WoW64 SysCalls“, kurios padeda apeiti įprastą naudotojo režimo stebėjimą, kurį naudoja smėlio dėžės, antivirusinės sistemos ir EDR sprendimai.
Pagrindiniai duomenų tikslai:
- Kriptovaliutų piniginės ir plėtiniai
- Žiniatinklio naršyklės
- Populiarios pranešimų platformos
- FTP klientai
- El. pašto programos
„ClickFix“ veikia: užkrėtimo procesas
Kaip matyti daugelyje „ClickFix“ scenarijų, aukos yra įtikinamos paleisti komandą „Windows“ vykdymo dialogo lange, prisidengiant netikra „reCAPTCHA“ užduotimi sukčiavimo svetainėse. Ši komanda sukelia grandininę reakciją, susijusią su „mshta.exe“, kuris vykdo „PowerShell“ scenarijų. Scenarijus nuskaito .NET dvejetainį failą, esantį „MediaFire“, taip paruošdamas dirvą naudingosios apkrovos diegimui.
„PureCrypter“ ir „MSBuild“: slapta pristatymo grandinė
Atsisiųstas komponentas yra „Amatera Stealer“ DLL, paslėpta naudojant „PureCrypter“ – universalų C# pagrindu sukurtą įkėlimo įrankį, kurį kūrėjas, žinomas kaip „PureCoder“, taip pat parduoda kaip „MaaS“ produktą. Aktyviai veikianti DLL įterpiama į MSBuild.exe, leidžiant vagiai pradėti rinkti duomenis. Tada ji susisiekia su išoriniu serveriu ir vykdo „PowerShell“ komandą, kad atsisiųstų ir paleistų „NetSupport RAT“.
Vykdymo logika vyksta šiais etapais:
- Tikrina, ar sistema priklauso domenui
- Ieško potencialiai vertingų failų, pvz., kriptovaliutų piniginės duomenų
- „NetSupport RAT“ diegimas tęsiamas tik tuo atveju, jei įvykdyta viena iš šių sąlygų.
Selektyvus taikymas maksimaliam poveikiui
Vienas iš neįprasčiausių „Amatera“ „PowerShell“ rutinos aspektų yra jos sąlyginė logika. Vagys įvertina, ar užkrėstas galinis taškas yra įmonės domeno dalis, ar jame yra didelės vertės duomenų. Jei nė vienas kriterijus netenkinamas, „NetSupport RAT“ yra sąmoningai sulaikomas, o tai rodo, kad operatoriai siekia taupyti išteklius ir sutelkti dėmesį į sistemas, siūlančias didžiausią grąžą.
Šis tikslinis metodas kartu su „ClickFix“ manipuliavimu ir patobulinta kenkėjiškų programų ekosistema pabrėžia didėjantį šiuolaikinių kibernetinių nusikaltimų operacijų sudėtingumą.
