ЕВАЛУЗИЈА ClickFix кампање
Аналитичари сајбер безбедности открили су континуирани талас злонамерних активности које се у великој мери ослањају на широко распрострањену методу социјалног инжењеринга ClickFix. Ова кампања, праћена као EVALUSION, користи технику за дистрибуцију и Amatera Stealer-а и NetSupport RAT-а, омогућавајући опсежну крађу података и даљински приступ зараженим системима.
Преглед садржаја
Од ACR-а до Amatera-е: Еволуција крадљивца
Први знаци Аматере појавили су се у јуну 2025. године, а истраживачи су је проценили као директног наследника ранијег ACR (AcridRain) Stealer-а, који је раније радио по моделу претплате на малвер као услугу. Након што је продаја ACR-а престала средином јула 2024. године, Аматера се појавила са сопственом вишеслојном структуром цена у распону од 199 долара месечно до 1.499 долара годишње, што ју је учинило доступном разним актерима претње.
Способности изграђене за свеобухватну крађу
Аматера нуди широк спектар функција прикупљања података дизајнираних да угрозе више врста корисничких информација. Њене мете се протежу кроз крипто-новчанике, прегледаче, клијенте за размену порука, FTP алате и програме за е-пошту. Да би избегла откривање, користи напредне тактике избегавања, укључујући WoW64 SysCall-ове, које јој помажу да заобиђе уобичајено праћење корисничког режима које користе sandbox-ови, AV енџини и EDR решења.
Кључни циљеви података укључују:
- Криптовалутни новчаници и екстензије
- Веб прегледачи
- Популарне платформе за размену порука
- FTP клијенти
- Апликације за е-пошту
ClickFix на делу: Процес инфекције
Као што се види у многим ClickFix сценаријима, жртве се убеђују да покрену команду у Windows Run дијалогу под маском попуњавања лажног reCAPTCHA изазова на преварним фишинг сајтовима. Ова команда покреће ланчану реакцију која укључује mshta.exe, који извршава PowerShell скрипту. Скрипта преузима .NET бинарну датотеку хостовану на MediaFire-у, постављајући темеље за распоређивање корисног терета.
PureCrypter и MSBuild: Прикривени ланац испоруке
Преузета компонента је Amatera Stealer DLL сакривена помоћу PureCrypter-а, свестраног C#-базираног учитавача који се такође продаје као MaaS производ од стране програмера познатог као PureCoder. Једном активна, DLL се убризгава у MSBuild.exe, омогућавајући stealer-у да почне са прикупљањем података. Затим се повезује са екстерним сервером и извршава PowerShell команду да би преузела и покренула NetSupport RAT.
Логика извршења пролази кроз следеће кораке:
- Проверава да ли систем припада домену
- Тражи потенцијално вредне датотеке, као што су подаци крипто-новчаника
- Наставља се са имплементацијом NetSupport RAT-а само ако је испуњен један од ових услова
Селективно циљање за максималан утицај
Један од необичнијих аспеката Аматерине PowerShell рутине је њена условна логика. Крадец процењује да ли је заражена крајња тачка део корпоративног домена или садржи податке велике вредности. Ако ниједан критеријум није испуњен, NetSupport RAT се намерно задржава, што сугерише да оператери желе да уштеде ресурсе и фокусирају се на системе који нуде највећи повраћај.
Овај циљани приступ, у комбинацији са манипулацијом ClickFix-а и усавршеним екосистемом злонамерног софтвера, наглашава све већу софистицираност модерних операција сајбер криминала.
