EVALUSION ClickFix-kampanje

Nettsikkerhetsanalytikere har avdekket en pågående bølge av ondsinnet aktivitet som i stor grad er avhengig av den utbredte metoden for sosial manipulering ved bruk av ClickFix. Denne kampanjen, som spores som EVALUSION, utnytter teknikken til å distribuere både Amatera Stealer og NetSupport RAT, noe som muliggjør omfattende datatyveri og ekstern tilgang til infiserte systemer.

Fra ACR til Amatera: Utviklingen av en stjeler

De første tegnene på Amatera dukket opp i juni 2025, og forskere vurderte det som en direkte etterfølger til den tidligere ACR (AcridRain) Stealer, som tidligere opererte under en abonnementsmodell for skadevare som en tjeneste. Etter at ACR-salget opphørte i midten av juli 2024, dukket Amatera opp med sin egen nivåbaserte prisstruktur fra 199 dollar per måned til 1499 dollar per år, noe som gjorde det tilgjengelig for en rekke trusselaktører.

Funksjoner bygget for omfattende tyveri

Amatera tilbyr brede datainnsamlingsfunksjoner som er utformet for å kompromittere flere typer brukerinformasjon. Målene deres strekker seg over kryptolommebøker, nettlesere, meldingsklienter, FTP-verktøy og e-postprogrammer. For å unngå oppdagelse bruker de avanserte unnvikelsestaktikker, inkludert WoW64 SysCalls, som hjelper dem med å omgå vanlig brukermodusovervåking som brukes av sandkasser, AV-motorer og EDR-løsninger.

Viktige datamål inkluderer:

• Kryptovaluta-lommebøker og -utvidelser
• Nettlesere
• Populære meldingsplattformer
• FTP-klienter
• E-postapplikasjoner

ClickFix på jobb: Infeksjonsprosessen

Som sett i mange ClickFix-scenarier, blir ofrene overtalt til å kjøre en kommando i Windows Kjør-dialogboksen under dekke av å fullføre en falsk reCAPTCHA-utfordring på falske phishing-sider. Denne kommandoen utløser en kjedereaksjon som involverer mshta.exe, som kjører et PowerShell-skript. Skriptet henter en .NET-binærfil som ligger på MediaFire, og legger grunnlaget for utrulling av nyttelast.

PureCrypter og MSBuild: En skjult leveringskjede

Den nedlastede komponenten er en Amatera Stealer DLL skjult ved hjelp av PureCrypter, en allsidig C#-basert laster som også selges som et MaaS-produkt av en utvikler kjent som PureCoder. Når den er aktiv, injiseres DLL-en i MSBuild.exe, slik at stjeleren kan begynne å samle inn data. Den kontakter deretter en ekstern server og kjører en PowerShell-kommando for å laste ned og starte NetSupport RAT.

Utførelseslogikken går gjennom følgende trinn:

• Sjekker om systemet tilhører et domene
• Ser etter potensielt verdifulle filer, som for eksempel kryptolommebokdata
• Fortsetter kun med NetSupport RAT-distribusjon hvis en av disse betingelsene er oppfylt

Selektiv målretting for maksimal effekt

Et av de mer uvanlige aspektene ved Amateras PowerShell-rutine er dens betingede logikk. Tyveren evaluerer om det infiserte endepunktet er en del av et bedriftsdomene eller inneholder data av høy verdi. Hvis ingen av kriteriene er oppfylt, holdes NetSupport RAT med vilje tilbake, noe som antyder at operatørene søker å spare ressurser og fokusere på systemer som gir størst mulig avkastning.

Denne målrettede tilnærmingen, kombinert med ClickFix-manipulering og et raffinert økosystem for skadelig programvare, understreker den økende sofistikasjonen av moderne nettkriminalitetsoperasjoner.