EVALUSION क्लिकफिक्स अभियान

साइबर सुरक्षा विश्लेषकहरूले व्यापक क्लिकफिक्स सामाजिक-इन्जिनियरिङ विधिमा धेरै भर पर्दै दुर्भावनापूर्ण गतिविधिको निरन्तर लहर पत्ता लगाएका छन्। EVALUSION को रूपमा ट्र्याक गरिएको यो अभियानले Amatera Stealer र NetSupport RAT दुवै वितरण गर्ने प्रविधिको प्रयोग गर्दछ, जसले गर्दा संक्रमित प्रणालीहरूमा व्यापक डेटा चोरी र रिमोट पहुँच सक्षम हुन्छ।

ACR देखि Amatera सम्म: एक चोरको विकास

जुन २०२५ मा अमाटेराको पहिलो संकेत देखा पर्‍यो, अनुसन्धानकर्ताहरूले यसलाई पहिलेको ACR (AcridRain) Stealer को प्रत्यक्ष उत्तराधिकारीको रूपमा मूल्याङ्कन गरे, जुन पहिले मालवेयर-एज-ए-सर्भिस सदस्यता मोडेल अन्तर्गत सञ्चालन गरिएको थियो। जुलाई २०२४ को मध्यमा ACR बिक्री बन्द भएपछि, अमाटेराले प्रति महिना $१९९ देखि प्रति वर्ष $१,४९९ सम्मको आफ्नै स्तरीय मूल्य निर्धारण संरचनाको साथ देखा पर्‍यो, जसले यसलाई विभिन्न खतरा अभिनेताहरूको लागि पहुँचयोग्य बनायो।

व्यापक चोरीको लागि निर्मित क्षमताहरू

अमेतेराले धेरै प्रकारका प्रयोगकर्ता जानकारीलाई सम्झौता गर्न डिजाइन गरिएको व्यापक डेटा सङ्कलन सुविधाहरू प्रदान गर्दछ। यसको लक्ष्यहरू क्रिप्टो-वालेटहरू, ब्राउजरहरू, सन्देश क्लाइन्टहरू, FTP उपयोगिताहरू, र इमेल कार्यक्रमहरूमा फैलिएका छन्। पत्ता लगाउनबाट बच्नको लागि, यसले WoW64 SysCalls सहित उन्नत चोरी रणनीतिहरू प्रयोग गर्दछ, जसले यसलाई स्यान्डबक्सहरू, AV इन्जिनहरू, र EDR समाधानहरू द्वारा प्रयोग गरिने सामान्य प्रयोगकर्ता-मोड निगरानीलाई बेवास्ता गर्न मद्दत गर्दछ।

प्रमुख डेटा लक्ष्यहरूमा समावेश छन्:

• क्रिप्टोकरेन्सी वालेट र एक्सटेन्सनहरू
• वेब ब्राउजरहरू
• लोकप्रिय सन्देश प्लेटफर्महरू
• FTP क्लाइन्टहरू
• इमेल अनुप्रयोगहरू

क्लिकफिक्स एट वर्क: संक्रमण प्रक्रिया

धेरै ClickFix परिदृश्यहरूमा देखिएझैं, पीडितहरूलाई धोखाधडी फिसिङ साइटहरूमा नक्कली reCAPTCHA चुनौती पूरा गर्ने आडमा Windows Run संवादमा आदेश चलाउन विश्वस्त पारिन्छ। यो आदेशले mshta.exe समावेश गर्ने चेन प्रतिक्रिया ट्रिगर गर्दछ, जसले PowerShell स्क्रिप्ट कार्यान्वयन गर्दछ। स्क्रिप्टले MediaFire मा होस्ट गरिएको .NET बाइनरी पुन: प्राप्त गर्दछ, पेलोड तैनाती को लागी चरण सेट गर्दछ।

प्योरक्रिप्टर र एमएसबिल्ड: एक गोप्य डेलिभरी चेन

डाउनलोड गरिएको कम्पोनेन्ट भनेको PureCrypter प्रयोग गरेर लुकाइएको Amatera Stealer DLL हो, जुन बहुमुखी C#-आधारित लोडर हो र PureCoder भनेर चिनिने विकासकर्ताद्वारा MaaS उत्पादनको रूपमा पनि बेचिन्छ। एक पटक सक्रिय भएपछि, DLL लाई MSBuild.exe मा इन्जेक्ट गरिन्छ, जसले गर्दा चोरी गर्ने व्यक्तिले डेटा सङ्कलन गर्न थाल्छ। त्यसपछि यो बाह्य सर्भरमा पुग्छ र NetSupport RAT डाउनलोड गर्न र सुरु गर्न PowerShell आदेश कार्यान्वयन गर्छ।

कार्यान्वयन तर्क निम्न चरणहरू मार्फत जान्छ:

• प्रणाली डोमेनको हो कि होइन भनेर जाँच गर्छ
• क्रिप्टो-वालेट डेटा जस्ता सम्भावित मूल्यवान फाइलहरू खोज्छ।
• यी मध्ये कुनै एक सर्त पूरा भएमा मात्र NetSupport RAT तैनाती अगाडि बढ्छ।

अधिकतम प्रभावको लागि छनौट लक्ष्यीकरण

अमेतेराको पावरशेल दिनचर्याको एउटा असामान्य पक्ष यसको सशर्त तर्क हो। चोरी गर्ने व्यक्तिले संक्रमित अन्त्य बिन्दु कर्पोरेट डोमेनको भाग हो वा उच्च-मूल्य डेटा समावेश गर्दछ कि भनेर मूल्याङ्कन गर्दछ। यदि कुनै पनि मापदण्ड पूरा भएन भने, नेटसपोर्ट RAT जानाजानी रोकिन्छ, जसले अपरेटरहरूले स्रोतहरू संरक्षण गर्न र सबैभन्दा ठूलो प्रतिफल प्रदान गर्ने प्रणालीहरूमा ध्यान केन्द्रित गर्न खोज्छन् भन्ने सुझाव दिन्छ।

यो लक्षित दृष्टिकोण, क्लिकफिक्स हेरफेर र परिष्कृत मालवेयर इकोसिस्टमसँग मिलेर, आधुनिक साइबर अपराध सञ्चालनको बढ्दो परिष्कारलाई जोड दिन्छ।