EVALUSION Kempen ClickFix
Penganalisis keselamatan siber telah menemui gelombang aktiviti berniat jahat yang berterusan bergantung pada kaedah kejuruteraan sosial ClickFix yang meluas. Kempen ini, yang dijejaki sebagai EVALUSION, memanfaatkan teknik untuk mengedarkan kedua-dua Amatera Stealer dan NetSupport RAT, yang membolehkan kecurian data yang meluas dan akses jauh pada sistem yang dijangkiti.
Isi kandungan
Daripada ACR kepada Amatera: Evolusi Seorang Pencuri
Tanda-tanda pertama Amatera muncul pada Jun 2025, dengan penyelidik menilai ia sebagai pengganti langsung kepada ACR (AcridRain) Stealer sebelum ini, yang sebelum ini beroperasi di bawah model langganan perisian hasad-sebagai-perkhidmatan. Selepas jualan ACR dihentikan pada pertengahan Julai 2024, Amatera muncul dengan struktur harga berperingkatnya sendiri antara $199 sebulan hingga $1,499 setahun, menjadikannya boleh diakses oleh pelbagai pelaku ancaman.
Keupayaan Dibina untuk Kecurian Komprehensif
Amatera menawarkan ciri pengumpulan data yang luas yang direka untuk menjejaskan pelbagai jenis maklumat pengguna. Sasarannya menjangkau seluruh dompet kripto, penyemak imbas, pelanggan pemesejan, utiliti FTP dan program e-mel. Untuk mengelakkan pengesanan, ia menggunakan taktik pengelakan lanjutan, termasuk WoW64 SysCalls, yang membantunya mengetepikan pemantauan mod pengguna biasa yang digunakan oleh kotak pasir, enjin AV dan penyelesaian EDR.
Sasaran data utama termasuk:
- Dompet dan sambungan mata wang kripto
- pelayar web
- Platform pemesejan yang popular
- Pelanggan FTP
- Aplikasi e-mel
ClickFix di Tempat Kerja: Proses Jangkitan
Seperti yang dilihat dalam banyak senario ClickFix, mangsa yakin untuk menjalankan arahan dalam dialog Windows Run dengan berselindung untuk menyelesaikan cabaran reCAPTCHA palsu pada tapak pancingan data penipuan. Perintah ini mencetuskan tindak balas berantai yang melibatkan mshta.exe, yang melaksanakan skrip PowerShell. Skrip mendapatkan semula binari .NET yang dihoskan pada MediaFire, menetapkan peringkat untuk penggunaan muatan.
PureCrypter dan MSBuild: Rantaian Penghantaran yang Senyap
Komponen yang dimuat turun ialah Amatera Stealer DLL yang disembunyikan menggunakan PureCrypter, pemuat berasaskan C# yang serba boleh yang turut dijual sebagai produk MaaS oleh pembangun yang dikenali sebagai PureCoder. Setelah aktif, DLL disuntik ke dalam MSBuild.exe, membolehkan pencuri mula mengumpul data. Ia kemudiannya menghubungi pelayan luaran dan melaksanakan perintah PowerShell untuk memuat turun dan melancarkan NetSupport RAT.
Logik pelaksanaan melalui langkah-langkah berikut:
- Menyemak sama ada sistem milik domain
- Mencari fail yang berpotensi berharga, seperti data dompet crypto
- Teruskan dengan penggunaan NetSupport RAT hanya jika salah satu syarat ini dipenuhi
Penyasaran Terpilih untuk Kesan Maksimum
Salah satu aspek yang lebih luar biasa dari rutin PowerShell Amatera ialah logik bersyaratnya. Pencuri menilai sama ada titik akhir yang dijangkiti adalah sebahagian daripada domain korporat atau mengandungi data bernilai tinggi. Jika kedua-dua kriteria tidak dipenuhi, NetSupport RAT sengaja ditahan, mencadangkan pengendali berusaha untuk menjimatkan sumber dan menumpukan pada sistem yang menawarkan pulangan terbesar.
Pendekatan yang disasarkan ini, digabungkan dengan manipulasi ClickFix dan ekosistem perisian hasad yang diperhalusi, menggariskan peningkatan kecanggihan operasi jenayah siber moden.
