EVALUSION Kampanii ClickFix
Analitycy ds. cyberbezpieczeństwa odkryli trwającą falę złośliwej aktywności, w dużej mierze wykorzystującą szeroko rozpowszechnioną metodę socjotechniczną ClickFix. Kampania ta, śledzona jako EVALUSION, wykorzystuje tę technikę do dystrybucji zarówno Amatera Stealer, jak i NetSupport RAT, umożliwiając rozległą kradzież danych i zdalny dostęp do zainfekowanych systemów.
Spis treści
Od ACR do Amatery: ewolucja złodzieja
Pierwsze oznaki Amatery pojawiły się w czerwcu 2025 roku. Naukowcy ocenili ją jako bezpośredniego następcę wcześniejszego ACR (AcridRain) Stealer, który wcześniej działał w modelu subskrypcji oprogramowania złośliwego jako usługi (malware-as-a-service). Po zakończeniu sprzedaży ACR w połowie lipca 2024 roku, Amatera pojawiła się z własną, wielopoziomową strukturą cenową, od 199 dolarów miesięcznie do 1499 dolarów rocznie, co uczyniło ją dostępną dla szerokiego grona cyberprzestępców.
Możliwości stworzone do kompleksowej kradzieży
Amatera oferuje szerokie możliwości gromadzenia danych, zaprojektowane w celu wykradania wielu rodzajów informacji o użytkowniku. Jej celem są portfele kryptowalut, przeglądarki, komunikatory, narzędzia FTP i programy pocztowe. Aby uniknąć wykrycia, wykorzystuje zaawansowane taktyki obejścia zabezpieczeń, w tym wywołania systemowe WoW64, które pomagają jej ominąć powszechny monitoring trybu użytkownika stosowany przez środowiska testowe, silniki antywirusowe i rozwiązania EDR.
Kluczowe cele danych obejmują:
- Portfele i rozszerzenia kryptowalut
- Przeglądarki internetowe
- Popularne platformy do przesyłania wiadomości
- Klienci FTP
- Aplikacje e-mailowe
ClickFix w pracy: proces infekcji
Jak widać w wielu scenariuszach ClickFix, ofiary są nakłaniane do uruchomienia polecenia w oknie dialogowym Uruchom systemu Windows pod pretekstem wykonania fałszywego testu reCAPTCHA na fałszywych stronach phishingowych. To polecenie uruchamia reakcję łańcuchową z udziałem programu mshta.exe, który wykonuje skrypt programu PowerShell. Skrypt pobiera plik binarny .NET hostowany na platformie MediaFire, przygotowując grunt pod wdrożenie ładunku.
PureCrypter i MSBuild: ukryty łańcuch dostaw
Pobrany komponent to biblioteka DLL Amatera Stealer ukryta za pomocą PureCrypter, wszechstronnego loadera opartego na C#, również sprzedawanego jako produkt MaaS przez dewelopera znanego jako PureCoder. Po aktywacji biblioteka DLL jest wstrzykiwana do pliku MSBuild.exe, umożliwiając stealerowi rozpoczęcie gromadzenia danych. Następnie nawiązuje on połączenie z serwerem zewnętrznym i wykonuje polecenie programu PowerShell w celu pobrania i uruchomienia NetSupport RAT.
Logika wykonania przebiega następująco:
- Sprawdza, czy system należy do domeny
- Wyszukuje potencjalnie wartościowe pliki, takie jak dane portfela kryptowalutowego
- Kontynuuje wdrożenie NetSupport RAT tylko wtedy, gdy spełniony jest jeden z poniższych warunków
Selektywne targetowanie dla maksymalnego wpływu
Jednym z bardziej nietypowych aspektów procedury PowerShell w Amaterze jest jej logika warunkowa. Złodziej ocenia, czy zainfekowany punkt końcowy jest częścią domeny korporacyjnej lub zawiera dane o wysokiej wartości. Jeśli żadne z tych kryteriów nie jest spełnione, NetSupport RAT jest celowo wstrzymywany, co sugeruje, że operatorzy starają się oszczędzać zasoby i skupić się na systemach oferujących największą stopę zwrotu.
To ukierunkowane podejście, w połączeniu z manipulacją ClickFix i udoskonalonym ekosystemem złośliwego oprogramowania, podkreśla rosnącą wyrafinowanie współczesnych działań cyberprzestępców.
