EVALUSION ClickFix-kampanj

Cybersäkerhetsanalytiker har avslöjat en pågående våg av skadlig aktivitet som i hög grad förlitar sig på den utbredda sociala ingenjörsmetoden ClickFix. Denna kampanj, som spåras som EVALUSION, utnyttjar tekniken för att distribuera både Amatera Stealer och NetSupport RAT, vilket möjliggör omfattande datastöld och fjärråtkomst till infekterade system.

Från ACR till Amatera: En stjälares utveckling

De första tecknen på Amatera dök upp i juni 2025, och forskare bedömde det som en direkt efterföljare till det tidigare ACR (AcridRain) Stealer, som tidigare fungerade under en prenumerationsmodell för skadlig programvara som en tjänst. Efter att ACR-försäljningen upphörde i mitten av juli 2024 dök Amatera upp med sin egen nivåindelade prisstruktur från 199 dollar per månad till 1 499 dollar per år, vilket gjorde det tillgängligt för en mängd olika hotaktörer.

Funktioner byggda för omfattande stöld

Amatera erbjuder breda datainsamlingsfunktioner utformade för att kompromettera flera typer av användarinformation. Dess mål sträcker sig över kryptoplånböcker, webbläsare, meddelandeklienter, FTP-verktyg och e-postprogram. För att undvika upptäckt använder de avancerade undanmanövreringstaktiker, inklusive WoW64 SysCalls, som hjälper dem att kringgå vanlig användarövervakning som används av sandlådor, AV-motorer och EDR-lösningar.

Viktiga datamål inkluderar:

• Kryptovalutaplånböcker och tillägg
• Webbläsare
• Populära meddelandeplattformar
• FTP-klienter
• E-postapplikationer

ClickFix på jobbet: Infektionsprocessen

Som man sett i många ClickFix-scenarier övertalas offren att köra ett kommando i Windows Kör-dialogruta under förevändning att de utför en falsk reCAPTCHA-utmaning på bedrägliga nätfiskewebbplatser. Detta kommando utlöser en kedjereaktion som involverar mshta.exe, som kör ett PowerShell-skript. Skriptet hämtar en .NET-binärfil som finns på MediaFire, vilket banar väg för distribution av nyttolasten.

PureCrypter och MSBuild: En smygande leveranskedja

Den nedladdade komponenten är en Amatera Stealer DLL dold med hjälp av PureCrypter, en mångsidig C#-baserad laddare som också säljs som en MaaS-produkt av en utvecklare känd som PureCoder. När den är aktiv injiceras DLL:en i MSBuild.exe, vilket gör att stjälaren kan börja samla in data. Den kontaktar sedan en extern server och kör ett PowerShell-kommando för att ladda ner och starta NetSupport RAT.

Exekveringslogiken går igenom följande steg:

• Kontrollerar om systemet tillhör en domän
• Letar efter potentiellt värdefulla filer, såsom krypto-plånboksdata
• Fortsätter endast med NetSupport RAT-distribution om ett av dessa villkor är uppfyllt

Selektiv målgruppsinriktning för maximal effekt

En av de mer ovanliga aspekterna av Amateras PowerShell-rutin är dess villkorliga logik. Stjälaren utvärderar om den infekterade slutpunkten är en del av en företagsdomän eller innehåller data av högt värde. Om inget av kriterierna är uppfyllt undanhålls NetSupport RAT avsiktligt, vilket tyder på att operatörerna försöker spara resurser och fokusera på system som ger störst avkastning.

Denna riktade strategi, i kombination med ClickFix-manipulation och ett förfinat ekosystem för skadlig kod, understryker den alltmer sofistikerade moderna cyberbrottsoperationer.