EVALUSION da campanha ClickFix

Analistas de cibersegurança descobriram uma onda contínua de atividades maliciosas que se baseiam fortemente no método de engenharia social ClickFix, amplamente utilizado. Essa campanha, identificada como EVALUSION, aproveita a técnica para distribuir os malwares Amatera Stealer e NetSupport RAT, possibilitando o roubo extensivo de dados e o acesso remoto a sistemas infectados.

De ACR a Amatera: A Evolução de um Ladrão

Os primeiros indícios do Amatera surgiram em junho de 2025, com pesquisadores avaliando-o como um sucessor direto do antigo ACR (AcridRain) Stealer, que anteriormente operava sob um modelo de assinatura de malware como serviço. Após o encerramento das vendas do ACR em meados de julho de 2024, o Amatera surgiu com sua própria estrutura de preços escalonada, variando de US$ 199 por mês a US$ 1.499 por ano, tornando-o acessível a uma variedade de agentes de ameaças.

Recursos desenvolvidos para roubo abrangente

O Amatera oferece amplos recursos de coleta de dados projetados para comprometer diversos tipos de informações do usuário. Seus alvos abrangem carteiras de criptomoedas, navegadores, clientes de mensagens, utilitários FTP e programas de e-mail. Para evitar a detecção, ele emprega táticas avançadas de evasão, incluindo chamadas de sistema WoW64, que o ajudam a contornar o monitoramento comum em modo de usuário utilizado por ambientes de teste (sandboxes), mecanismos antivírus e soluções EDR.

Os principais alvos de dados incluem:

• Carteiras e extensões de criptomoedas
• Navegadores da Web
• Plataformas de mensagens populares
• clientes FTP
• aplicativos de e-mail

ClickFix em ação: O processo de infecção

Como observado em muitos cenários do ClickFix, as vítimas são convencidas a executar um comando na caixa de diálogo Executar do Windows sob o pretexto de completar um falso desafio reCAPTCHA em sites fraudulentos de phishing. Esse comando desencadeia uma reação em cadeia envolvendo o mshta.exe, que executa um script do PowerShell. O script recupera um binário .NET hospedado no MediaFire, preparando o terreno para a implantação do payload.

PureCrypter e MSBuild: Uma cadeia de entrega furtiva

O componente baixado é uma DLL do Amatera Stealer ocultada usando o PureCrypter, um carregador versátil baseado em C# também vendido como um produto MaaS por um desenvolvedor conhecido como PureCoder. Uma vez ativa, a DLL é injetada no MSBuild.exe, permitindo que o ladrão comece a coletar dados. Em seguida, ele se conecta a um servidor externo e executa um comando do PowerShell para baixar e iniciar o NetSupport RAT.

A lógica de execução passa pelas seguintes etapas:

• Verifica se o sistema pertence a um domínio.
• Procura arquivos potencialmente valiosos, como dados de carteiras de criptomoedas.
• A implantação do NetSupport RAT só será iniciada se uma das seguintes condições for atendida.

Alvo Seletivo para Máximo Impacto

Um dos aspectos mais incomuns da rotina em PowerShell da Amatera é sua lógica condicional. O malware avalia se o endpoint infectado faz parte de um domínio corporativo ou contém dados de alto valor. Se nenhum dos critérios for atendido, o NetSupport RAT é intencionalmente retido, sugerindo que os operadores buscam conservar recursos e se concentrar em sistemas que oferecem o maior retorno.

Essa abordagem direcionada, combinada com a manipulação do ClickFix e um ecossistema de malware refinado, ressalta a crescente sofisticação das operações modernas de crimes cibernéticos.