Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Vjedhësit EVALUSION ClickFix Campaign

EVALUSION ClickFix Campaign

Nga MezoVjedhësit
Përkthe në:

Analistët e sigurisë kibernetike kanë zbuluar një valë të vazhdueshme aktiviteti keqdashës që mbështetet shumë në metodën e përhapur të inxhinierisë sociale ClickFix. Kjo fushatë, e ndjekur si EVALUSION, shfrytëzon teknikën për të shpërndarë si Amatera Stealer ashtu edhe NetSupport RAT, duke mundësuar vjedhje të gjerë të të dhënave dhe akses në distancë në sistemet e infektuara.

Nga ACR në Amatera: Evolucioni i një Hajduti

Shenjat e para të Amatera u shfaqën në qershor 2025, me studiuesit që e vlerësuan atë si një pasardhës të drejtpërdrejtë të ACR (AcridRain) Stealer të mëparshëm, i cili më parë funksiononte sipas një modeli abonimi për malware-as-a-service. Pasi shitjet e ACR pushuan në mesin e korrikut 2024, Amatera u shfaq me strukturën e vet të çmimeve të shkallëzuara që varionte nga 199 dollarë në muaj deri në 1,499 dollarë në vit, duke e bërë atë të arritshme për një sërë aktorësh kërcënues.

Aftësi të Ndërtuara për Vjedhje Gjithëpërfshirëse

Amatera ofron funksione të gjera për mbledhjen e të dhënave, të dizajnuara për të kompromentuar lloje të shumta të informacionit të përdoruesit. Synimet e saj shtrihen në portofolet e kriptove, shfletuesit, klientët e mesazheve, shërbimet FTP dhe programet e email-it. Për të shmangur zbulimin, ajo përdor taktika të avancuara shmangieje, duke përfshirë WoW64 SysCalls, të cilat e ndihmojnë të shmangë monitorimin e zakonshëm të modalitetit të përdoruesit të përdorur nga sandbox-et, motorët AV dhe zgjidhjet EDR.

Objektivat kryesorë të të dhënave përfshijnë:

  • Portofolet dhe zgjerimet e kriptomonedhave
  • Shfletuesit e internetit
  • Platformat e njohura të mesazheve
  • Klientët FTP
  • Aplikacionet e email-it

ClickFix në Punë: Procesi i Infeksionit

Siç shihet në shumë skenarë të ClickFix, viktimat bindin të ekzekutojnë një komandë në dialogun Run të Windows nën maskën e përfundimit të një sfide të rreme reCAPTCHA në faqet mashtruese të phishing. Kjo komandë shkakton një reaksion zinxhir që përfshin mshta.exe, i cili ekzekuton një skript PowerShell. Skripti rikuperon një skedar binar .NET të vendosur në MediaFire, duke përgatitur terrenin për vendosjen e ngarkesës së dobishme.

PureCrypter dhe MSBuild: Një Zinxhir i Fshehtë Dorëzimi

Komponenti i shkarkuar është një DLL Amatera Stealer i fshehur duke përdorur PureCrypter, një ngarkues i gjithanshëm i bazuar në C#, i cili shitet gjithashtu si një produkt MaaS nga një zhvillues i njohur si PureCoder. Pasi të aktivizohet, DLL injektohet në MSBuild.exe, duke i lejuar vjedhësit të fillojë mbledhjen e të dhënave. Pastaj ai lidhet me një server të jashtëm dhe ekzekuton një komandë PowerShell për të shkarkuar dhe nisur NetSupport RAT.

Logjika e ekzekutimit kalon nëpër hapat e mëposhtëm:

  • Kontrollon nëse sistemi i përket një domeni
  • Kërkon për skedarë potencialisht të vlefshëm, siç janë të dhënat e portofolit kripto
  • Vazhdon me vendosjen e NetSupport RAT vetëm nëse plotësohet një nga këto kushte.

Synim selektiv për ndikim maksimal

Një nga aspektet më të pazakonta të rutinës PowerShell të Amatera është logjika e saj e kushtëzuar. Vjedhësi vlerëson nëse pika fundore e infektuar është pjesë e një domeni të korporatës apo përmban të dhëna me vlerë të lartë. Nëse asnjëri kriter nuk plotësohet, NetSupport RAT mbahet qëllimisht jashtë, duke sugjeruar që operatorët kërkojnë të kursejnë burimet dhe të përqendrohen në sistemet që ofrojnë kthimin më të madh.

Kjo qasje e synuar, e kombinuar me manipulimin ClickFix dhe një ekosistem të rafinuar të programeve keqdashëse, nënvizon sofistikimin në rritje të operacioneve moderne të krimit kibernetik.

Në trend

Më e shikuara

Po ngarkohet...