EVALUSION ClickFix ਮੁਹਿੰਮ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਵਿਆਪਕ ClickFix ਸੋਸ਼ਲ-ਇੰਜੀਨੀਅਰਿੰਗ ਵਿਧੀ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਰਭਰ ਕਰਦੇ ਹੋਏ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਦੀ ਇੱਕ ਚੱਲ ਰਹੀ ਲਹਿਰ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ। ਇਹ ਮੁਹਿੰਮ, ਜਿਸਨੂੰ EVALUSION ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, Amatera Stealer ਅਤੇ NetSupport RAT ਦੋਵਾਂ ਨੂੰ ਵੰਡਣ ਲਈ ਤਕਨੀਕ ਦਾ ਲਾਭ ਉਠਾਉਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ 'ਤੇ ਵਿਆਪਕ ਡੇਟਾ ਚੋਰੀ ਅਤੇ ਰਿਮੋਟ ਪਹੁੰਚ ਸੰਭਵ ਹੋ ਜਾਂਦੀ ਹੈ।

ਏਸੀਆਰ ਤੋਂ ਅਮਾਟੇਰਾ ਤੱਕ: ਇੱਕ ਚੋਰੀ ਕਰਨ ਵਾਲੇ ਦਾ ਵਿਕਾਸ

ਅਮਾਟੇਰਾ ਦੇ ਪਹਿਲੇ ਸੰਕੇਤ ਜੂਨ 2025 ਵਿੱਚ ਸਾਹਮਣੇ ਆਏ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਸਨੂੰ ਪਹਿਲਾਂ ਦੇ ACR (AcridRain) ਸਟੀਲਰ ਦੇ ਸਿੱਧੇ ਉੱਤਰਾਧਿਕਾਰੀ ਵਜੋਂ ਮੁਲਾਂਕਣ ਕੀਤਾ, ਜੋ ਪਹਿਲਾਂ ਇੱਕ ਮਾਲਵੇਅਰ-ਐਜ਼-ਏ-ਸਰਵਿਸ ਸਬਸਕ੍ਰਿਪਸ਼ਨ ਮਾਡਲ ਦੇ ਅਧੀਨ ਕੰਮ ਕਰਦਾ ਸੀ। ਜੁਲਾਈ 2024 ਦੇ ਅੱਧ ਵਿੱਚ ACR ਦੀ ਵਿਕਰੀ ਬੰਦ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਅਮਾਟੇਰਾ ਆਪਣੀ ਖੁਦ ਦੀ ਟਾਇਰਡ ਕੀਮਤ ਬਣਤਰ ਦੇ ਨਾਲ ਸਾਹਮਣੇ ਆਇਆ ਜੋ $199 ਪ੍ਰਤੀ ਮਹੀਨਾ ਤੋਂ $1,499 ਪ੍ਰਤੀ ਸਾਲ ਤੱਕ ਸੀ, ਜਿਸ ਨਾਲ ਇਹ ਕਈ ਤਰ੍ਹਾਂ ਦੇ ਖ਼ਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਲਈ ਪਹੁੰਚਯੋਗ ਬਣ ਗਿਆ।

ਵਿਆਪਕ ਚੋਰੀ ਲਈ ਬਣਾਈਆਂ ਗਈਆਂ ਸਮਰੱਥਾਵਾਂ

ਅਮੇਟੇਰਾ ਵਿਆਪਕ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਦੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦਾ ਹੈ ਜੋ ਕਈ ਕਿਸਮਾਂ ਦੀ ਉਪਭੋਗਤਾ ਜਾਣਕਾਰੀ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ। ਇਸਦੇ ਟੀਚੇ ਕ੍ਰਿਪਟੋ-ਵਾਲਿਟ, ਬ੍ਰਾਊਜ਼ਰ, ਮੈਸੇਜਿੰਗ ਕਲਾਇੰਟ, FTP ਉਪਯੋਗਤਾਵਾਂ ਅਤੇ ਈਮੇਲ ਪ੍ਰੋਗਰਾਮਾਂ ਵਿੱਚ ਫੈਲੇ ਹੋਏ ਹਨ। ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ, ਇਹ ਉੱਨਤ ਚੋਰੀ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ WoW64 SysCalls ਸ਼ਾਮਲ ਹਨ, ਜੋ ਇਸਨੂੰ ਸੈਂਡਬੌਕਸ, AV ਇੰਜਣਾਂ ਅਤੇ EDR ਹੱਲਾਂ ਦੁਆਰਾ ਵਰਤੇ ਜਾਂਦੇ ਆਮ ਉਪਭੋਗਤਾ-ਮੋਡ ਨਿਗਰਾਨੀ ਤੋਂ ਬਚਣ ਵਿੱਚ ਮਦਦ ਕਰਦੇ ਹਨ।

ਮੁੱਖ ਡੇਟਾ ਟੀਚਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਵਾਲੇਟ ਅਤੇ ਐਕਸਟੈਂਸ਼ਨ
• ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰ
• ਪ੍ਰਸਿੱਧ ਮੈਸੇਜਿੰਗ ਪਲੇਟਫਾਰਮ
• FTP ਕਲਾਇੰਟ
• ਈਮੇਲ ਐਪਲੀਕੇਸ਼ਨਾਂ

ਕੰਮ 'ਤੇ ਕਲਿੱਕਫਿਕਸ: ਲਾਗ ਦੀ ਪ੍ਰਕਿਰਿਆ

ਜਿਵੇਂ ਕਿ ਬਹੁਤ ਸਾਰੇ ClickFix ਦ੍ਰਿਸ਼ਾਂ ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਹੈ, ਪੀੜਤਾਂ ਨੂੰ ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਫਿਸ਼ਿੰਗ ਸਾਈਟਾਂ 'ਤੇ ਇੱਕ ਜਾਅਲੀ reCAPTCHA ਚੁਣੌਤੀ ਨੂੰ ਪੂਰਾ ਕਰਨ ਦੀ ਆੜ ਵਿੱਚ Windows Run ਡਾਇਲਾਗ ਵਿੱਚ ਇੱਕ ਕਮਾਂਡ ਚਲਾਉਣ ਲਈ ਰਾਜ਼ੀ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਕਮਾਂਡ mshta.exe ਨਾਲ ਜੁੜੀ ਇੱਕ ਚੇਨ ਪ੍ਰਤੀਕ੍ਰਿਆ ਨੂੰ ਚਾਲੂ ਕਰਦੀ ਹੈ, ਜੋ ਇੱਕ PowerShell ਸਕ੍ਰਿਪਟ ਨੂੰ ਚਲਾਉਂਦੀ ਹੈ। ਸਕ੍ਰਿਪਟ MediaFire 'ਤੇ ਹੋਸਟ ਕੀਤੀ ਗਈ ਇੱਕ .NET ਬਾਈਨਰੀ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ, ਜੋ ਪੇਲੋਡ ਤੈਨਾਤੀ ਲਈ ਪੜਾਅ ਤੈਅ ਕਰਦੀ ਹੈ।

ਪਿਓਰਕ੍ਰਿਪਟਰ ਅਤੇ ਐਮਐਸਬਿਲਡ: ਇੱਕ ਸਟੀਲਥੀ ਡਿਲੀਵਰੀ ਚੇਨ

ਡਾਊਨਲੋਡ ਕੀਤਾ ਗਿਆ ਕੰਪੋਨੈਂਟ ਇੱਕ Amatera Stealer DLL ਹੈ ਜੋ PureCrypter ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਛੁਪਾਇਆ ਗਿਆ ਹੈ, ਇੱਕ ਬਹੁਪੱਖੀ C#-ਅਧਾਰਿਤ ਲੋਡਰ ਜਿਸਨੂੰ PureCoder ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਡਿਵੈਲਪਰ ਦੁਆਰਾ MaaS ਉਤਪਾਦ ਵਜੋਂ ਵੀ ਵੇਚਿਆ ਜਾਂਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਸਰਗਰਮ ਹੋਣ 'ਤੇ, DLL ਨੂੰ MSBuild.exe ਵਿੱਚ ਇੰਜੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਸਟੀਲਰ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰ ਦਿੰਦਾ ਹੈ। ਇਹ ਫਿਰ ਇੱਕ ਬਾਹਰੀ ਸਰਵਰ ਤੱਕ ਪਹੁੰਚਦਾ ਹੈ ਅਤੇ NetSupport RAT ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਲਾਂਚ ਕਰਨ ਲਈ ਇੱਕ PowerShell ਕਮਾਂਡ ਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ।

ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਾਜਿਕ ਹੇਠ ਲਿਖੇ ਕਦਮਾਂ ਵਿੱਚੋਂ ਲੰਘਦਾ ਹੈ:

• ਜਾਂਚ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਸਿਸਟਮ ਕਿਸੇ ਡੋਮੇਨ ਨਾਲ ਸਬੰਧਤ ਹੈ।
• ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਕੀਮਤੀ ਫਾਈਲਾਂ ਦੀ ਭਾਲ ਕਰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਕ੍ਰਿਪਟੋ-ਵਾਲਿਟ ਡੇਟਾ
• ਇਹਨਾਂ ਵਿੱਚੋਂ ਇੱਕ ਸ਼ਰਤ ਪੂਰੀ ਹੋਣ 'ਤੇ ਹੀ NetSupport RAT ਤੈਨਾਤੀ ਨਾਲ ਅੱਗੇ ਵਧਦਾ ਹੈ।

ਵੱਧ ਤੋਂ ਵੱਧ ਪ੍ਰਭਾਵ ਲਈ ਚੋਣਵੇਂ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ

ਅਮੇਟੇਰਾ ਦੇ ਪਾਵਰਸ਼ੈਲ ਰੁਟੀਨ ਦੇ ਸਭ ਤੋਂ ਅਸਾਧਾਰਨ ਪਹਿਲੂਆਂ ਵਿੱਚੋਂ ਇੱਕ ਇਸਦਾ ਸ਼ਰਤੀਆ ਤਰਕ ਹੈ। ਚੋਰੀ ਕਰਨ ਵਾਲਾ ਇਹ ਮੁਲਾਂਕਣ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਸੰਕਰਮਿਤ ਅੰਤਮ ਬਿੰਦੂ ਇੱਕ ਕਾਰਪੋਰੇਟ ਡੋਮੇਨ ਦਾ ਹਿੱਸਾ ਹੈ ਜਾਂ ਇਸ ਵਿੱਚ ਉੱਚ-ਮੁੱਲ ਵਾਲਾ ਡੇਟਾ ਹੈ। ਜੇਕਰ ਕੋਈ ਵੀ ਮਾਪਦੰਡ ਪੂਰਾ ਨਹੀਂ ਹੁੰਦਾ ਹੈ, ਤਾਂ NetSupport RAT ਨੂੰ ਜਾਣਬੁੱਝ ਕੇ ਰੋਕਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਓਪਰੇਟਰ ਸਰੋਤਾਂ ਨੂੰ ਬਚਾਉਣ ਅਤੇ ਸਭ ਤੋਂ ਵੱਧ ਰਿਟਰਨ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਨ ਵਾਲੇ ਸਿਸਟਮਾਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਨ।

ਇਹ ਨਿਸ਼ਾਨਾਬੱਧ ਪਹੁੰਚ, ਕਲਿਕਫਿਕਸ ਹੇਰਾਫੇਰੀ ਅਤੇ ਇੱਕ ਸੁਧਾਰੇ ਹੋਏ ਮਾਲਵੇਅਰ ਈਕੋਸਿਸਟਮ ਦੇ ਨਾਲ, ਆਧੁਨਿਕ ਸਾਈਬਰ ਅਪਰਾਧ ਕਾਰਜਾਂ ਦੀ ਵਧਦੀ ਸੂਝ-ਬੂਝ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।