การประเมินแคมเปญ ClickFix
นักวิเคราะห์ด้านความปลอดภัยไซเบอร์ได้ค้นพบคลื่นกิจกรรมอันตรายที่ยังคงดำเนินอยู่อย่างต่อเนื่อง ซึ่งอาศัยวิธีการทางวิศวกรรมสังคมของ ClickFix ที่แพร่หลายอย่างมาก แคมเปญนี้ ซึ่งติดตามในชื่อ EVALUSION ได้ใช้ประโยชน์จากเทคนิคนี้ในการกระจายทั้ง Amatera Stealer และ NetSupport RAT ซึ่งทำให้สามารถขโมยข้อมูลได้อย่างกว้างขวางและสามารถเข้าถึงระบบที่ติดไวรัสจากระยะไกลได้
สารบัญ
จาก ACR สู่ Amatera: วิวัฒนาการของผู้ขโมย
สัญญาณแรกของ Amatera ปรากฏขึ้นในเดือนมิถุนายน 2568 โดยนักวิจัยประเมินว่าเป็นตัวต่อยอดโดยตรงจาก ACR (AcridRain) Stealer เดิม ซึ่งก่อนหน้านี้ดำเนินการภายใต้รูปแบบการสมัครสมาชิกแบบมัลแวร์เป็นบริการ (malware‑as‑a‑service) หลังจากการขาย ACR สิ้นสุดลงในช่วงกลางเดือนกรกฎาคม 2567 Amatera ก็ปรากฏตัวขึ้นพร้อมโครงสร้างราคาแบบขั้นบันได ตั้งแต่ 199 ดอลลาร์สหรัฐต่อเดือนไปจนถึง 1,499 ดอลลาร์สหรัฐต่อปี ทำให้ผู้ก่อภัยคุกคามหลายรายสามารถเข้าถึง Amatera ได้
ความสามารถที่สร้างขึ้นเพื่อการโจรกรรมที่ครอบคลุม
Amatera นำเสนอฟีเจอร์การรวบรวมข้อมูลที่ครอบคลุม ซึ่งออกแบบมาเพื่อเจาะข้อมูลผู้ใช้หลายประเภท เป้าหมายครอบคลุมกระเป๋าเงินดิจิทัล เบราว์เซอร์ ไคลเอ็นต์ส่งข้อความ ยูทิลิตี้ FTP และโปรแกรมอีเมล เพื่อหลีกเลี่ยงการถูกตรวจจับ Amatera ใช้กลยุทธ์การหลบเลี่ยงขั้นสูง ซึ่งรวมถึง WoW64 SysCalls ซึ่งช่วยให้หลีกเลี่ยงการตรวจสอบโหมดผู้ใช้ทั่วไปที่ใช้โดยแซนด์บ็อกซ์ เอ็นจิ้น AV และโซลูชัน EDR
เป้าหมายข้อมูลที่สำคัญได้แก่:
- กระเป๋าเงินและส่วนขยายสกุลเงินดิจิทัล
- เว็บเบราว์เซอร์
- แพลตฟอร์มการส่งข้อความยอดนิยม
- ไคลเอนต์ FTP
- แอปพลิเคชันอีเมล์
ClickFix ที่ทำงาน: กระบวนการติดเชื้อ
ดังที่เห็นได้ในหลายกรณีของ ClickFix เหยื่อถูกหลอกให้รันคำสั่งในกล่องโต้ตอบ Run ของ Windows โดยอ้างว่ากำลังทำ reCAPTCHA challenge ปลอมบนเว็บไซต์ฟิชชิ่งหลอกลวง คำสั่งนี้จะกระตุ้นให้เกิดปฏิกิริยาลูกโซ่ที่เกี่ยวข้องกับ mshta.exe ซึ่งจะรันสคริปต์ PowerShell สคริปต์นี้จะดึงไบนารี .NET ที่โฮสต์อยู่บน MediaFire ซึ่งเป็นการเตรียมการสำหรับการติดตั้งเพย์โหลด
PureCrypter และ MSBuild: ห่วงโซ่การส่งมอบที่ซ่อนเร้น
ส่วนประกอบที่ดาวน์โหลดมาคือ Amatera Stealer DLL ที่ถูกซ่อนไว้โดยใช้ PureCrypter ซึ่งเป็นโปรแกรมโหลดอเนกประสงค์ที่ใช้ C# และขายเป็นผลิตภัณฑ์ MaaS โดยนักพัฒนาที่รู้จักกันในชื่อ PureCoder เมื่อเปิดใช้งานแล้ว DLL จะถูกแทรกเข้าไปใน MSBuild.exe ทำให้โปรแกรมขโมยข้อมูลสามารถเริ่มรวบรวมข้อมูลได้ จากนั้นจะติดต่อไปยังเซิร์ฟเวอร์ภายนอกและดำเนินการคำสั่ง PowerShell เพื่อดาวน์โหลดและเปิดใช้งาน NetSupport RAT
ตรรกะการดำเนินการจะผ่านขั้นตอนต่อไปนี้:
- ตรวจสอบว่าระบบเป็นของโดเมนหรือไม่
- ค้นหาไฟล์ที่มีคุณค่า เช่น ข้อมูลกระเป๋าสตางค์ดิจิทัล
- ดำเนินการต่อด้วยการปรับใช้ NetSupport RAT เฉพาะในกรณีที่ตรงตามเงื่อนไขเหล่านี้ข้อใดข้อหนึ่งเท่านั้น
การกำหนดเป้าหมายแบบเลือกสรรเพื่อผลกระทบสูงสุด
หนึ่งในลักษณะที่แปลกประหลาดที่สุดของรูทีน PowerShell ของ Amatera คือตรรกะเชิงเงื่อนไข ตัวขโมยจะประเมินว่าปลายทางที่ติดไวรัสเป็นส่วนหนึ่งของโดเมนขององค์กรหรือมีข้อมูลมูลค่าสูง หากไม่เป็นไปตามเกณฑ์ทั้งสองข้อ NetSupport RAT จะถูกระงับไว้โดยเจตนา ซึ่งบ่งชี้ว่าผู้ปฏิบัติการกำลังพยายามอนุรักษ์ทรัพยากรและมุ่งเน้นไปที่ระบบที่ให้ผลตอบแทนสูงสุด
แนวทางที่กำหนดเป้าหมายนี้ ร่วมกับการจัดการ ClickFix และระบบนิเวศมัลแวร์ที่ได้รับการปรับปรุง เน้นย้ำถึงความซับซ้อนที่เพิ่มมากขึ้นของการปฏิบัติการอาชญากรรมทางไซเบอร์ในยุคใหม่
