EVOLUSION Kampanja ClickFix
Analitiki kibernetske varnosti so odkrili nenehen val zlonamernih dejavnosti, ki se močno zanašajo na razširjeno metodo socialnega inženiringa ClickFix. Ta kampanja, znana kot EVALUSION, izkorišča tehniko za distribucijo Amatera Stealer in NetSupport RAT, kar omogoča obsežno krajo podatkov in oddaljeni dostop do okuženih sistemov.
Kazalo
Od ACR do Amatere: Razvoj kradljivca
Prvi znaki Amatere so se pojavili junija 2025, raziskovalci pa so jo ocenili kot neposrednega naslednika prejšnjega programa ACR (AcridRain) Stealer, ki je prej deloval po modelu naročnine na zlonamerno programsko opremo kot storitev. Po prenehanju prodaje ACR sredi julija 2024 se je Amatera pojavila s svojo cenovno strukturo, ki se je gibala od 199 USD na mesec do 1499 USD na leto, zaradi česar je bila dostopna različnim akterjem groženj.
Zmogljivosti, zgrajene za celovito tatvino
Amatera ponuja širok spekter funkcij zbiranja podatkov, namenjenih ogrožanju več vrst uporabniških podatkov. Njene tarče segajo v kripto denarnice, brskalnike, odjemalce za sporočila, FTP pripomočke in e-poštne programe. Da bi se izognila odkritju, uporablja napredne taktike izogibanja, vključno s sistemskimi klici WoW64, ki ji pomagajo obiti običajno spremljanje uporabniškega načina, ki ga uporabljajo peskovniki, protivirusni programi in rešitve EDR.
Ključni cilji podatkov vključujejo:
- Kripto denarnice in razširitve
- Spletni brskalniki
- Priljubljene platforme za sporočanje
- FTP odjemalci
- E-poštne aplikacije
ClickFix pri delu: Proces okužbe
Kot je razvidno iz mnogih scenarijev ClickFixa, žrtve prepričajo, da v pogovornem oknu Zaženi v sistemu Windows izvedejo ukaz pod pretvezo, da na lažnih spletnih mestih z lažnim predstavljanjem izvajajo lažni izziv reCAPTCHA. Ta ukaz sproži verižno reakcijo, ki vključuje mshta.exe, ki izvede skript PowerShell. Skript pridobi binarno datoteko .NET, ki gostuje na MediaFire, in tako pripravi teren za namestitev koristnega tovora.
PureCrypter in MSBuild: Prikrita dobavna veriga
Prenesena komponenta je DLL datoteke Amatera Stealer, skrita s PureCrypterjem, vsestranskim nalagalnikom, ki temelji na C# in ga razvijalec PureCoder prodaja tudi kot izdelek MaaS. Ko je DLL aktiven, se vbrizga v MSBuild.exe, kar omogoča, da ukradeni program začne zbirati podatke. Nato se poveže z zunanjim strežnikom in izvede ukaz PowerShell za prenos in zagon NetSupport RAT.
Logika izvajanja poteka skozi naslednje korake:
- Preveri, ali sistem pripada domeni
- Išče potencialno dragocene datoteke, kot so podatki kripto denarnice
- Nadaljuje z uvedbo NetSupport RAT le, če je izpolnjen eden od teh pogojev
Selektivno ciljanje za največji učinek
Eden bolj nenavadnih vidikov Amaterine rutine PowerShell je njena pogojna logika. Kradljiva programska oprema oceni, ali je okužena končna točka del korporativne domene ali vsebuje podatke visoke vrednosti. Če noben od kriterijev ni izpolnjen, se NetSupport RAT namerno zadrži, kar kaže na to, da si operaterji prizadevajo varčevati z viri in se osredotočiti na sisteme, ki ponujajo največji donos.
Ta ciljno usmerjen pristop, skupaj z manipulacijo ClickFix in izpopolnjenim ekosistemom zlonamerne programske opreme, poudarja vse večjo prefinjenost sodobnih operacij kibernetske kriminalitete.
