EVOLUSION Kampaň ClickFix
Analytici kybernetickej bezpečnosti odhalili pokračujúcu vlnu škodlivej aktivity, ktorá sa vo veľkej miere spolieha na rozšírenú metódu sociálneho inžinierstva ClickFix. Táto kampaň, označovaná ako EVALUSION, využíva túto techniku na distribúciu vírusov Amatera Stealer a NetSupport RAT, čo umožňuje rozsiahle krádeže údajov a vzdialený prístup k infikovaným systémom.
Obsah
Od ACR po Amateru: Vývoj zlodeja kariet
Prvé známky vírusu Amatera sa objavili v júni 2025, pričom výskumníci ho hodnotili ako priameho nástupcu staršieho vírusu ACR (AcridRain) Stealer, ktorý predtým fungoval na základe modelu predplatného malvéru ako služby. Po ukončení predaja ACR v polovici júla 2024 sa Amatera objavila s vlastnou stupňovitou cenovou štruktúrou od 199 dolárov mesačne do 1 499 dolárov ročne, vďaka čomu bola dostupná pre rôznych aktérov hrozbami.
Schopnosti vytvorené pre komplexné krádeže
Amatera ponúka široké funkcie zhromažďovania údajov určené na kompromitovanie viacerých typov používateľských informácií. Jej ciele sa rozprestierajú naprieč kryptopeňaženkami, prehliadačmi, klientmi na odosielanie správ, FTP nástrojmi a e-mailovými programami. Aby sa vyhla odhaleniu, používa pokročilé taktiky úniku vrátane WoW64 SysCall, ktoré jej pomáhajú obísť bežné monitorovanie používateľského režimu používané sandboxmi, antivírusovými nástrojmi a riešeniami EDR.
Medzi kľúčové dátové ciele patria:
- Kryptomenové peňaženky a rozšírenia
- Webové prehliadače
- Populárne platformy na zasielanie správ
- FTP klienti
- E-mailové aplikácie
ClickFix v práci: Proces infekcie
Ako je vidieť v mnohých scenároch ClickFixu, obete sú presvedčené, aby spustili príkaz v dialógovom okne Spustiť systému Windows pod zámienkou dokončenia falošnej výzvy reCAPTCHA na podvodných phishingových stránkach. Tento príkaz spustí reťazovú reakciu zahŕňajúcu mshta.exe, ktorý spustí skript PowerShellu. Skript načíta binárny súbor .NET hostovaný na MediaFire, čím pripraví pôdu pre nasadenie užitočného zaťaženia.
PureCrypter a MSBuild: Nenápadný doručovací reťazec
Stiahnutý komponent je knižnica DLL pre Amatera Stealer, ktorá je skrytá pomocou PureCrypteru, všestranného zavádzača založeného na jazyku C#, ktorý predáva aj ako produkt MaaS vývojár známy ako PureCoder. Po aktivácii sa knižnica DLL vloží do súboru MSBuild.exe, čo umožní zavádzaču začať zhromažďovať údaje. Následne sa spojí s externým serverom a vykoná príkaz PowerShellu na stiahnutie a spustenie NetSupport RAT.
Logika vykonávania prechádza nasledujúcimi krokmi:
- Skontroluje, či systém patrí do domény
- Hľadá potenciálne cenné súbory, ako napríklad údaje o kryptopeňaženkách
- Nasadenie NetSupport RAT pokračuje iba v prípade, že je splnená jedna z týchto podmienok.
Selektívne zacielenie pre maximálny vplyv
Jedným z neobvyklejších aspektov rutiny PowerShell od Amatery je jej podmienená logika. Stealer vyhodnocuje, či je infikovaný koncový bod súčasťou firemnej domény alebo obsahuje dáta s vysokou hodnotou. Ak nie je splnené ani jedno z kritérií, NetSupport RAT sa zámerne zadrží, čo naznačuje, že prevádzkovatelia sa snažia šetriť zdroje a sústrediť sa na systémy, ktoré ponúkajú najväčšiu návratnosť.
Tento cielený prístup v kombinácii s manipuláciou s ClickFixom a prepracovaným ekosystémom škodlivého softvéru podčiarkuje rastúcu sofistikovanosť moderných operácií kybernetickej kriminality.
