VĒRTĒJUMS ClickFix kampaņa

Kiberdrošības analītiķi ir atklājuši nepārtrauktu ļaunprātīgu darbību vilni, kas lielā mērā balstās uz plaši izplatīto ClickFix sociālās inženierijas metodi. Šī kampaņa, kas tiek izsekota kā EVALUSION, izmanto šo metodi, lai izplatītu gan Amatera Stealer, gan NetSupport RAT, nodrošinot plaša mēroga datu zādzības un attālinātu piekļuvi inficētajām sistēmām.

No ACR līdz Amatera: zagļa evolūcija

Pirmās Amatera pazīmes parādījās 2025. gada jūnijā, pētniekiem novērtējot to kā tiešu iepriekšējā ACR (AcridRain) Stealer pēcteci, kas iepriekš darbojās saskaņā ar ļaunprogrammatūras kā pakalpojuma abonēšanas modeli. Pēc tam, kad ACR pārdošana tika pārtraukta 2024. gada jūlija vidū, Amatera parādījās ar savu diferenciālo cenu struktūru no 199 USD mēnesī līdz 1499 USD gadā, padarot to pieejamu dažādiem apdraudējumu dalībniekiem.

Iespējas, kas radītas visaptverošai zādzībai

Amatera piedāvā plašas datu vākšanas funkcijas, kas paredzētas vairāku veidu lietotāju informācijas apdraudēšanai. Tās mērķi aptver kriptovalūtu makus, pārlūkprogrammas, ziņojumapmaiņas klientus, FTP utilītprogrammas un e-pasta programmas. Lai izvairītos no atklāšanas, tā izmanto uzlabotu apiešanas taktiku, tostarp WoW64 SysCalls, kas palīdz apiet izplatītu lietotāja režīma uzraudzību, ko izmanto smilškastes, pretvīrusu dzinēji un EDR risinājumi.

Galvenie datu mērķi ir šādi:

• Kriptovalūtu maki un paplašinājumi
• Tīmekļa pārlūkprogrammas
• Populāras ziņojumapmaiņas platformas
• FTP klienti
• E-pasta lietojumprogrammas

ClickFix darbībā: inficēšanās process

Kā redzams daudzos ClickFix scenārijos, upuri tiek pierunāti palaist komandu Windows palaišanas dialoglodziņā, aizbildinoties ar viltota reCAPTCHA uzdevuma izpildi krāpnieciskās pikšķerēšanas vietnēs. Šī komanda izraisa ķēdes reakciju, kurā iesaistīts mshta.exe, kas izpilda PowerShell skriptu. Skripts izgūst .NET bināro failu, kas atrodas MediaFire, tādējādi sagatavojot augsni vērtuma izvietošanai.

PureCrypter un MSBuild: slepena piegādes ķēde

Lejupielādētā komponente ir Amatera Stealer DLL, kas ir paslēpta, izmantojot PureCrypter — daudzpusīgu C# bāzes ielādētāju, ko kā MaaS produktu pārdod arī izstrādātājs, kas pazīstams kā PureCoder. Kad DLL ir aktivizēts, tas tiek ievadīts MSBuild.exe failā, ļaujot zaglim sākt datu vākšanu. Pēc tam tas izveido savienojumu ar ārēju serveri un izpilda PowerShell komandu, lai lejupielādētu un palaistu NetSupport RAT.

Izpildes loģika iet cauri šādiem soļiem:

• Pārbauda, vai sistēma pieder domēnam
• Meklē potenciāli vērtīgus failus, piemēram, kriptovalūtu maku datus
• Turpināt NetSupport RAT izvietošanu tikai tad, ja ir izpildīts viens no šiem nosacījumiem.

Selektīva mērķauditorijas atlase maksimālai ietekmei

Viens no neparastākajiem Amatera PowerShell rutīnas aspektiem ir tās nosacītā loģika. Zaglis novērtē, vai inficētais galapunkts ir daļa no korporatīvā domēna vai satur augstas vērtības datus. Ja neviens no kritērijiem netiek izpildīts, NetSupport RAT tiek apzināti slēpts, kas liek domāt, ka operatori cenšas ietaupīt resursus un koncentrēties uz sistēmām, kas piedāvā vislielāko atdevi.

Šī mērķtiecīgā pieeja apvienojumā ar ClickFix manipulācijām un uzlabotu ļaunprogrammatūras ekosistēmu uzsver mūsdienu kibernoziegumu operāciju pieaugošo sarežģītību.