EVALUSION ClickFix Campaign

సైబర్ సెక్యూరిటీ విశ్లేషకులు విస్తృతంగా వ్యాపించిన ClickFix సోషల్-ఇంజనీరింగ్ పద్ధతిపై ఆధారపడి కొనసాగుతున్న హానికరమైన కార్యకలాపాల తరంగాన్ని కనుగొన్నారు. EVALUSIONగా ట్రాక్ చేయబడిన ఈ ప్రచారం, Amatera Stealer మరియు NetSupport RAT రెండింటినీ పంపిణీ చేయడానికి సాంకేతికతను ఉపయోగించుకుంటుంది, దీని వలన ఇన్ఫెక్షన్ ఉన్న సిస్టమ్‌లపై విస్తృతమైన డేటా దొంగతనం మరియు రిమోట్ యాక్సెస్ సాధ్యమవుతుంది.

ACR నుండి అమటేరా వరకు: ఒక దొంగ యొక్క పరిణామం

అమటెరా యొక్క మొదటి సంకేతాలు జూన్ 2025లో బయటపడ్డాయి, పరిశోధకులు దీనిని మునుపటి ACR (AcridRain) స్టీలర్‌కు ప్రత్యక్ష వారసుడిగా అంచనా వేశారు, ఇది గతంలో మాల్వేర్-యాజ్-ఎ-సర్వీస్ సబ్‌స్క్రిప్షన్ మోడల్ కింద పనిచేసింది. జూలై 2024 మధ్యలో ACR అమ్మకాలు ఆగిపోయిన తర్వాత, అమటెరా నెలకు $199 నుండి సంవత్సరానికి $1,499 వరకు దాని స్వంత టైర్డ్ ధరల నిర్మాణంతో కనిపించింది, దీని వలన ఇది వివిధ రకాల బెదిరింపు నటులకు అందుబాటులోకి వచ్చింది.

సమగ్ర దొంగతనం కోసం నిర్మించిన సామర్థ్యాలు

బహుళ రకాల వినియోగదారు సమాచారాన్ని రాజీ చేయడానికి రూపొందించిన విస్తృత డేటా సేకరణ లక్షణాలను అమటేరా అందిస్తుంది. దీని లక్ష్యాలు క్రిప్టో-వాలెట్లు, బ్రౌజర్‌లు, మెసేజింగ్ క్లయింట్‌లు, FTP యుటిలిటీలు మరియు ఇమెయిల్ ప్రోగ్రామ్‌లలో విస్తరించి ఉన్నాయి. గుర్తింపును నివారించడానికి, ఇది WoW64 SysCallsతో సహా అధునాతన ఎగవేత వ్యూహాలను ఉపయోగిస్తుంది, ఇది శాండ్‌బాక్స్‌లు, AV ఇంజిన్‌లు మరియు EDR సొల్యూషన్‌లు ఉపయోగించే సాధారణ వినియోగదారు-మోడ్ పర్యవేక్షణను దాటవేయడంలో సహాయపడుతుంది.

కీలక డేటా లక్ష్యాలలో ఇవి ఉన్నాయి:

• క్రిప్టోకరెన్సీ వాలెట్లు మరియు పొడిగింపులు
• వెబ్ బ్రౌజర్‌లు
• ప్రసిద్ధ సందేశ వేదికలు
• FTP క్లయింట్లు
• అప్లికేషన్లను ఇమెయిల్ చేయండి

క్లిక్‌ఫిక్స్ ఎట్ వర్క్: ది ఇన్ఫెక్షన్ ప్రాసెస్

అనేక ClickFix దృశ్యాలలో చూసినట్లుగా, మోసపూరిత ఫిషింగ్ సైట్‌లలో నకిలీ reCAPTCHA సవాలును పూర్తి చేసే నెపంతో బాధితులు Windows Run డైలాగ్‌లో ఒక కమాండ్‌ను అమలు చేయడానికి ఒప్పించబడతారు. ఈ ఆదేశం mshta.exeతో కూడిన చైన్ రియాక్షన్‌ను ప్రేరేపిస్తుంది, ఇది పవర్‌షెల్ స్క్రిప్ట్‌ను అమలు చేస్తుంది. స్క్రిప్ట్ మీడియాఫైర్‌లో హోస్ట్ చేయబడిన .NET బైనరీని తిరిగి పొందుతుంది, పేలోడ్ విస్తరణకు వేదికను సెట్ చేస్తుంది.

ప్యూర్‌క్రిప్టర్ మరియు MSBuild: ఒక రహస్య డెలివరీ చైన్

డౌన్‌లోడ్ చేయబడిన భాగం PureCrypter ఉపయోగించి దాచబడిన Amatera స్టీలర్ DLL, ఇది PureCoder అని పిలువబడే డెవలపర్ ద్వారా MaaS ఉత్పత్తిగా విక్రయించబడే బహుముఖ C#‑ ఆధారిత లోడర్. ఒకసారి యాక్టివ్ అయిన తర్వాత, DLL MSBuild.exe లోకి ఇంజెక్ట్ చేయబడుతుంది, దీని వలన స్టీలర్ డేటాను సేకరించడం ప్రారంభించవచ్చు. అది బాహ్య సర్వర్‌కు చేరుకుంటుంది మరియు NetSupport RATని డౌన్‌లోడ్ చేసి ప్రారంభించడానికి PowerShell ఆదేశాన్ని అమలు చేస్తుంది.

అమలు తర్కం ఈ క్రింది దశల ద్వారా వెళుతుంది:

• సిస్టమ్ డొమైన్‌కు చెందినదా కాదా అని తనిఖీ చేస్తుంది
• క్రిప్టో-వాలెట్ డేటా వంటి విలువైన ఫైళ్ల కోసం వెతుకుతుంది
• ఈ షరతులలో ఏదైనా ఒకటి నెరవేరితేనే NetSupport RAT విస్తరణతో ముందుకు సాగుతుంది.

గరిష్ట ప్రభావం కోసం ఎంపిక చేసిన లక్ష్యం

అమటేరా పవర్‌షెల్ దినచర్యలో అసాధారణమైన అంశాలలో ఒకటి దాని షరతులతో కూడిన తర్కం. దొంగిలించే వ్యక్తి సోకిన ఎండ్‌పాయింట్ కార్పొరేట్ డొమైన్‌లో భాగమా లేదా అధిక-విలువ డేటాను కలిగి ఉందా అని అంచనా వేస్తాడు. రెండు ప్రమాణాలు నెరవేరకపోతే, NetSupport RAT ఉద్దేశపూర్వకంగా నిలిపివేయబడుతుంది, దీని అర్థం ఆపరేటర్లు వనరులను పరిరక్షించాలని మరియు గొప్ప రాబడిని అందించే వ్యవస్థలపై దృష్టి పెట్టాలని కోరుకుంటారు.

ఈ లక్ష్య విధానం, క్లిక్‌ఫిక్స్ మానిప్యులేషన్ మరియు శుద్ధి చేసిన మాల్వేర్ పర్యావరణ వ్యవస్థతో కలిపి, ఆధునిక సైబర్ నేర కార్యకలాపాల యొక్క పెరుగుతున్న అధునాతనతను నొక్కి చెబుతుంది.