EVALUARE Campania ClickFix
Analiștii în domeniul securității cibernetice au descoperit un val continuu de activități rău intenționate care se bazează în mare măsură pe metoda răspândită de inginerie socială ClickFix. Această campanie, urmărită drept EVALUARE, utilizează această tehnică pentru a distribui atât Amatera Stealer, cât și NetSupport RAT, permițând furtul extins de date și accesul de la distanță la sistemele infectate.
Cuprins
De la ACR la Amatera: Evoluția unui hoț de cărți
Primele semne ale prezenței Amatera au apărut în iunie 2025, cercetătorii evaluându-l ca un succesor direct al vechiului ACR (AcridRain) Stealer, care anterior funcționa pe baza unui model de abonament malware-as-a-service. După ce vânzările ACR au încetat la mijlocul lunii iulie 2024, Amatera a apărut cu propria structură de prețuri pe niveluri, variind de la 199 USD pe lună la 1.499 USD pe an, făcându-l accesibil unei varietăți de actori amenințători.
Capacități construite pentru furt complet
Amatera oferă funcții ample de colectare a datelor, concepute pentru a compromite mai multe tipuri de informații despre utilizatori. Țintele sale se extind la portofele cripto, browsere, clienți de mesagerie, utilitare FTP și programe de e-mail. Pentru a evita detectarea, folosește tactici avansate de evitare a atacurilor, inclusiv WoW64 SysCalls, care îl ajută să evite monitorizarea obișnuită a modului utilizator utilizată de sandbox-uri, motoare AV și soluții EDR.
Obiectivele cheie de date includ:
- Portofele și extensii pentru criptomonede
- Browsere web
- Platforme de mesagerie populare
- Clienți FTP
- Aplicații de e-mail
ClickFix la locul de muncă: Procesul de infectare
După cum se vede în multe scenarii ClickFix, victimele sunt convinse să execute o comandă în caseta de dialog Executare Windows sub pretextul completării unei provocări reCAPTCHA false pe site-uri frauduloase de phishing. Această comandă declanșează o reacție în lanț care implică mshta.exe, care execută un script PowerShell. Scriptul preia un fișier binar .NET găzduit pe MediaFire, pregătind terenul pentru implementarea sarcinii utile.
PureCrypter și MSBuild: Un lanț de livrare discret
Componenta descărcată este un DLL Amatera Stealer ascuns folosind PureCrypter, un încărcător versatil bazat pe C#, vândut și ca produs MaaS de către un dezvoltator cunoscut sub numele de PureCoder. Odată activ, DLL-ul este injectat în MSBuild.exe, permițând furtului să înceapă să colecteze date. Apoi, acesta se conectează la un server extern și execută o comandă PowerShell pentru a descărca și lansa NetSupport RAT.
Logica de execuție parcurge următorii pași:
- Verifică dacă sistemul aparține unui domeniu
- Caută fișiere potențial valoroase, cum ar fi datele din portofelele criptografice
- Continuă cu implementarea NetSupport RAT numai dacă este îndeplinită una dintre aceste condiții.
Direcționare selectivă pentru impact maxim
Unul dintre aspectele mai neobișnuite ale rutinei PowerShell a Amatera este logica sa condițională. Furtul de date evaluează dacă endpoint-ul infectat face parte dintr-un domeniu corporativ sau conține date de mare valoare. Dacă niciunul dintre criterii nu este îndeplinit, NetSupport RAT este reținut intenționat, ceea ce sugerează că operatorii încearcă să conserve resursele și să se concentreze pe sistemele care oferă cel mai mare randament.
Această abordare specifică, combinată cu manipularea ClickFix și un ecosistem de malware rafinat, subliniază sofisticarea tot mai mare a operațiunilor moderne de criminalitate cibernetică.
