EVALUSION ClickFix Campaign

சைபர் பாதுகாப்பு ஆய்வாளர்கள், பரவலான ClickFix சமூக-பொறியியல் முறையை பெரிதும் நம்பியிருக்கும் தீங்கிழைக்கும் செயல்பாடுகளின் தொடர்ச்சியான அலையை கண்டுபிடித்துள்ளனர். EVALUSION என கண்காணிக்கப்படும் இந்த பிரச்சாரம், Amatera Stealer மற்றும் NetSupport RAT இரண்டையும் விநியோகிக்கும் நுட்பத்தைப் பயன்படுத்துகிறது, இது விரிவான தரவு திருட்டு மற்றும் பாதிக்கப்பட்ட கணினிகளில் தொலைதூர அணுகலை செயல்படுத்துகிறது.

ACR முதல் அமதேரா வரை: ஒரு திருடனின் பரிணாமம்

அமடெராவின் முதல் அறிகுறிகள் ஜூன் 2025 இல் வெளிப்பட்டன, ஆராய்ச்சியாளர்கள் இதை முந்தைய ACR (AcridRain) ஸ்டீலரின் நேரடி வாரிசாக மதிப்பிட்டனர், இது முன்னர் ஒரு தீம்பொருள்-சேவை சந்தா மாதிரியின் கீழ் செயல்பட்டது. ஜூலை 2024 நடுப்பகுதியில் ACR விற்பனை நிறுத்தப்பட்ட பிறகு, அமடெரா அதன் சொந்த அடுக்கு விலை நிர்ணய கட்டமைப்பைக் கொண்டு வெளிப்பட்டது, இது பல்வேறு அச்சுறுத்தல் நடிகர்களுக்கு அணுகக்கூடியதாக மாற்றியது.

விரிவான திருட்டுக்காக உருவாக்கப்பட்ட திறன்கள்

பல வகையான பயனர் தகவல்களை சமரசம் செய்ய வடிவமைக்கப்பட்ட பரந்த தரவு சேகரிப்பு அம்சங்களை அமேடெரா வழங்குகிறது. அதன் இலக்குகள் கிரிப்டோ-வாலட்டுகள், உலாவிகள், செய்தியிடல் கிளையண்டுகள், FTP பயன்பாடுகள் மற்றும் மின்னஞ்சல் நிரல்கள் முழுவதும் நீண்டுள்ளன. கண்டறிதலைத் தவிர்க்க, இது WoW64 SysCalls உள்ளிட்ட மேம்பட்ட ஏய்ப்பு தந்திரங்களைப் பயன்படுத்துகிறது, இது சாண்ட்பாக்ஸ்கள், AV இயந்திரங்கள் மற்றும் EDR தீர்வுகளால் பயன்படுத்தப்படும் பொதுவான பயனர்-பயன்முறை கண்காணிப்பைத் தவிர்க்க உதவுகிறது.

முக்கிய தரவு இலக்குகளில் பின்வருவன அடங்கும்:

• கிரிப்டோகரன்சி பணப்பைகள் மற்றும் நீட்டிப்புகள்
• வலை உலாவிகள்
• பிரபலமான செய்தி தளங்கள்
• FTP கிளையண்டுகள்
• மின்னஞ்சல் பயன்பாடுகள்

வேலையில் ClickFix: தொற்று செயல்முறை

பல ClickFix சூழ்நிலைகளில் காணப்படுவது போல, பாதிக்கப்பட்டவர்கள் மோசடியான ஃபிஷிங் தளங்களில் போலி reCAPTCHA சவாலை முடிப்பது என்ற போர்வையில் Windows Run உரையாடலில் ஒரு கட்டளையை இயக்க நம்ப வைக்கப்படுகிறார்கள். இந்தக் கட்டளை mshta.exe ஐ உள்ளடக்கிய ஒரு சங்கிலி எதிர்வினையைத் தூண்டுகிறது, இது ஒரு PowerShell ஸ்கிரிப்டை இயக்குகிறது. இந்த ஸ்கிரிப்ட் MediaFire இல் ஹோஸ்ட் செய்யப்பட்ட .NET பைனரியை மீட்டெடுக்கிறது, இது பேலோட் வரிசைப்படுத்தலுக்கான கட்டத்தை அமைக்கிறது.

PureCrypter மற்றும் MSBuild: ஒரு திருட்டுத்தனமான டெலிவரி சங்கிலி

பதிவிறக்கம் செய்யப்பட்ட கூறு PureCrypter ஐப் பயன்படுத்தி மறைக்கப்பட்ட ஒரு Amatera Stealer DLL ஆகும், இது PureCoder எனப்படும் டெவலப்பரால் MaaS தயாரிப்பாகவும் விற்கப்படும் ஒரு பல்துறை C#‑ அடிப்படையிலான ஏற்றியாகும். செயல்பட்டவுடன், DLL MSBuild.exe இல் செலுத்தப்படுகிறது, இதனால் திருடர் தரவைச் சேகரிக்கத் தொடங்குகிறார். பின்னர் அது ஒரு வெளிப்புற சேவையகத்தை அடைந்து, NetSupport RAT ஐப் பதிவிறக்கித் தொடங்க PowerShell கட்டளையை செயல்படுத்துகிறது.

செயல்படுத்தல் தர்க்கம் பின்வரும் படிகளைக் கடந்து செல்கிறது:

• கணினி ஒரு டொமைனைச் சேர்ந்ததா என்பதைச் சரிபார்க்கிறது.
• கிரிப்டோ-வாலட் தரவு போன்ற மதிப்புமிக்க கோப்புகளைத் தேடுகிறது.
• இந்த நிபந்தனைகளில் ஏதேனும் ஒன்று பூர்த்தி செய்யப்பட்டால் மட்டுமே NetSupport RAT பயன்படுத்தலுடன் தொடர்கிறது.

அதிகபட்ச தாக்கத்திற்கான தேர்ந்தெடுக்கப்பட்ட இலக்கு

அமேடெராவின் பவர்ஷெல் வழக்கத்தின் மிகவும் அசாதாரண அம்சங்களில் ஒன்று அதன் நிபந்தனை தர்க்கம் ஆகும். பாதிக்கப்பட்ட எண்ட்பாயிண்ட் ஒரு கார்ப்பரேட் டொமைனின் ஒரு பகுதியாக உள்ளதா அல்லது அதிக மதிப்புள்ள தரவைக் கொண்டிருக்கிறதா என்பதை திருடர் மதிப்பிடுகிறார். இரண்டு அளவுகோல்களும் பூர்த்தி செய்யப்படாவிட்டால், NetSupport RAT வேண்டுமென்றே நிறுத்தி வைக்கப்படுகிறது, இது ஆபரேட்டர்கள் வளங்களைப் பாதுகாக்கவும், சிறந்த வருமானத்தை வழங்கும் அமைப்புகளில் கவனம் செலுத்தவும் முயல்வதைக் குறிக்கிறது.

இந்த இலக்கு அணுகுமுறை, ClickFix கையாளுதல் மற்றும் சுத்திகரிக்கப்பட்ட தீம்பொருள் சுற்றுச்சூழல் அமைப்புடன் இணைந்து, நவீன சைபர் குற்ற நடவடிக்கைகளின் அதிகரித்து வரும் நுட்பத்தை அடிக்கோடிட்டுக் காட்டுகிறது.