EVALUSION кампании ClickFix
Аналитики кибербезопасности обнаружили продолжающуюся волну вредоносной активности, активно использующей широко распространённый метод социальной инженерии ClickFix. Эта кампания, известная как EVALUSION, использует эту технологию для распространения Amatera Stealer и NetSupport RAT, что позволяет осуществлять масштабную кражу данных и удалённый доступ к заражённым системам.
Оглавление
От ACR до Аматеры: эволюция краденного
Первые признаки Amatera появились в июне 2025 года. Исследователи оценили его как прямого преемника более раннего ACR (AcridRain) Stealer, который ранее работал по модели «вредоносное ПО как услуга» (malware as a service) по подписке. После прекращения продаж ACR в середине июля 2024 года Amatera появился с собственной многоуровневой системой ценообразования — от 199 долларов в месяц до 1499 долларов в год, что сделало его доступным для самых разных злоумышленников.
Возможности, созданные для комплексной защиты от краж
Amatera предлагает широкий спектр функций сбора данных, предназначенных для компрометации различных типов пользовательской информации. Целями его атак являются криптокошельки, браузеры, мессенджеры, FTP-утилиты и почтовые программы. Чтобы избежать обнаружения, он использует продвинутые тактики уклонения, включая WoW64 SysCalls, которые позволяют ему обходить стандартный мониторинг пользовательского режима, используемый «песочницами», антивирусными движками и решениями EDR.
Ключевые целевые данные включают в себя:
- Криптовалютные кошельки и расширения
- Веб-браузеры
- Популярные платформы обмена сообщениями
- FTP-клиенты
- Заявки по электронной почте
ClickFix в действии: процесс заражения
Как видно из многочисленных сценариев ClickFix, жертв убеждают выполнить команду в диалоговом окне «Выполнить» Windows под видом прохождения поддельного теста reCAPTCHA на мошеннических фишинговых сайтах. Эта команда запускает цепную реакцию с участием mshta.exe, который выполняет скрипт PowerShell. Скрипт извлекает двоичный файл .NET, размещенный на MediaFire, подготавливая почву для развертывания полезной нагрузки.
PureCrypter и MSBuild: скрытая цепочка доставки
Загружаемый компонент представляет собой DLL-библиотеку Amatera Stealer, скрытую с помощью PureCrypter, универсального загрузчика на C#, также продаваемого как MaaS-продукт разработчиком PureCoder. После активации DLL внедряется в MSBuild.exe, позволяя стиллеру начать сбор данных. Затем он обращается к внешнему серверу и выполняет команду PowerShell для загрузки и запуска NetSupport RAT.
Логика выполнения проходит следующие этапы:
- Проверяет принадлежность системы к домену
- Ищет потенциально ценные файлы, такие как данные криптокошелька.
- Продолжайте развертывание NetSupport RAT только при выполнении одного из этих условий
Избирательное нацеливание для максимального эффекта
Одним из наиболее необычных аспектов PowerShell-процедуры Аматеры является её условная логика. Вредоносное ПО оценивает, принадлежит ли заражённая конечная точка корпоративному домену или содержит ценные данные. Если ни один из критериев не выполняется, RAT NetSupport намеренно блокируется, что говорит о стремлении операторов экономить ресурсы и сосредоточиться на системах, обеспечивающих максимальную отдачу.
Такой целенаправленный подход в сочетании с манипуляциями ClickFix и усовершенствованной экосистемой вредоносных программ подчеркивает растущую изощренность современных киберпреступных операций.
