EVALUSIË ClickFix Campagne

Cybersecurityanalisten hebben een aanhoudende golf van kwaadaardige activiteiten ontdekt die sterk afhankelijk zijn van de wijdverbreide ClickFix social engineering-methode. Deze campagne, gevolgd als EVALUSION, maakt gebruik van de techniek om zowel Amatera Stealer als NetSupport RAT te verspreiden, wat grootschalige gegevensdiefstal en toegang op afstand tot geïnfecteerde systemen mogelijk maakt.

Van ACR tot Amatera: de evolutie van een stealer

De eerste tekenen van Amatera doken op in juni 2025. Onderzoekers zagen het als een directe opvolger van de eerdere ACR (AcridRain) Stealer, die voorheen werkte volgens een abonnementsmodel voor malware-as-a-service. Nadat de verkoop van ACR medio juli 2024 stopte, verscheen Amatera met een eigen prijsstructuur, variërend van $ 199 per maand tot $ 1499 per jaar, waardoor het toegankelijk werd voor een breed scala aan kwaadwillenden.

Mogelijkheden gebouwd voor uitgebreide diefstalbeveiliging

Amatera biedt uitgebreide functies voor dataverzameling die ontworpen zijn om meerdere soorten gebruikersinformatie te compromitteren. De doelwitten zijn onder meer cryptowallets, browsers, berichtenclients, FTP-programma's en e-mailprogramma's. Om detectie te voorkomen, maakt het gebruik van geavanceerde ontwijkingsmethoden, waaronder WoW64 SysCalls, waarmee het de veelgebruikte gebruikersmodusmonitoring van sandboxes, AV-engines en EDR-oplossingen kan omzeilen.

Belangrijke datadoelen zijn onder meer:

• Cryptocurrency wallets en extensies
• Webbrowsers
• Populaire berichtenplatforms
• FTP-clients
• E-mailtoepassingen

ClickFix op het werk: het infectieproces

Zoals te zien is in veel ClickFix-scenario's, worden slachtoffers overgehaald om een opdracht uit te voeren in het Windows-venster Uitvoeren onder het mom van het voltooien van een valse reCAPTCHA-opdracht op frauduleuze phishingsites. Deze opdracht veroorzaakt een kettingreactie waarbij mshta.exe een PowerShell-script uitvoert. Het script haalt een .NET-bestand op dat gehost wordt op MediaFire, waarmee de weg wordt vrijgemaakt voor de implementatie van de payload.

PureCrypter en MSBuild: een stealth-leveringsketen

Het gedownloade onderdeel is een Amatera Stealer DLL die verborgen is met PureCrypter, een veelzijdige C#-gebaseerde loader die ook als MaaS-product wordt verkocht door een ontwikkelaar genaamd PureCoder. Zodra de DLL actief is, wordt deze in MSBuild.exe geïnjecteerd, zodat de stealer gegevens kan verzamelen. Vervolgens maakt hij verbinding met een externe server en voert een PowerShell-opdracht uit om NetSupport RAT te downloaden en te starten.

De uitvoeringslogica doorloopt de volgende stappen:

• Controleert of het systeem tot een domein behoort
• Zoekt naar potentieel waardevolle bestanden, zoals crypto-walletgegevens
• De NetSupport RAT-implementatie wordt alleen uitgevoerd als aan een van deze voorwaarden is voldaan

Selectieve targeting voor maximale impact

Een van de meer ongebruikelijke aspecten van Amatera's PowerShell-routine is de voorwaardelijke logica. De stealer evalueert of het geïnfecteerde eindpunt deel uitmaakt van een bedrijfsdomein of waardevolle gegevens bevat. Als aan geen van beide criteria wordt voldaan, wordt NetSupport RAT opzettelijk achterwege gelaten, wat suggereert dat de operators proberen resources te besparen en zich te concentreren op systemen die het meeste rendement opleveren.

Deze gerichte aanpak, gecombineerd met ClickFix-manipulatie en een verfijnd malware-ecosysteem, onderstreept de toenemende verfijning van moderne cybercriminele operaties.