EBALUSION ClickFix Campaign

Natuklasan ng mga analyst ng Cybersecurity ang isang patuloy na alon ng malisyosong aktibidad na lubos na umaasa sa laganap na ClickFix social-engineering na paraan. Ang kampanyang ito, na sinusubaybayan bilang EVALUSION, ay gumagamit ng pamamaraan upang maipamahagi ang parehong Amatera Stealer at NetSupport RAT, na nagbibigay-daan sa malawak na pagnanakaw ng data at malayuang pag-access sa mga nahawaang system.

Mula sa ACR hanggang Amatera: Ang Ebolusyon ng Isang Magnanakaw

Ang mga unang palatandaan ng Amatera ay lumitaw noong Hunyo 2025, kung saan tinatasa ito ng mga mananaliksik bilang direktang kahalili sa naunang ACR (AcridRain) Stealer, na dating pinaandar sa ilalim ng modelo ng subscription sa malware-as-a-service. Matapos huminto ang mga benta ng ACR noong kalagitnaan ng Hulyo 2024, lumitaw ang Amatera na may sarili nitong tiered na istraktura ng pagpepresyo mula $199 bawat buwan hanggang $1,499 bawat taon, na ginagawa itong naa-access sa iba't ibang mga banta ng aktor.

Mga Kakayahang Binuo para sa Komprehensibong Pagnanakaw

Nag-aalok ang Amatera ng malawak na mga feature sa pangangalap ng data na idinisenyo upang ikompromiso ang maraming uri ng impormasyon ng user. Ang mga target nito ay umaabot sa mga crypto‑wallet, browser, messaging client, FTP utilities, at email programs. Upang maiwasan ang pag-detect, gumagamit ito ng mga advanced na taktika sa pag-iwas, kabilang ang WoW64 SysCalls, na tumutulong sa pag-iwas sa karaniwang user-mode na pagsubaybay na ginagamit ng mga sandbox, AV engine, at EDR solution.

Kabilang sa mga pangunahing target ng data ang:

• Mga wallet at extension ng Cryptocurrency
• Mga web browser
• Mga sikat na platform ng pagmemensahe
• Mga kliyente ng FTP
• Mga aplikasyon sa email

ClickFix sa Trabaho: Ang Proseso ng Impeksyon

Gaya ng nakikita sa maraming mga sitwasyon sa ClickFix, kumbinsido ang mga biktima na magpatakbo ng command sa dialog ng Windows Run sa ilalim ng pagkukunwari ng pagkumpleto ng pekeng hamon ng reCAPTCHA sa mga mapanlinlang na site ng phishing. Ang command na ito ay nagti-trigger ng chain reaction na kinasasangkutan ng mshta.exe, na nagpapatupad ng PowerShell script. Kinukuha ng script ang isang .NET binary na naka-host sa MediaFire, na nagtatakda ng yugto para sa pag-deploy ng payload.

PureCrypter at MSBuild: Isang Palihim na Delivery Chain

Ang na-download na bahagi ay isang Amatera Stealer DLL na nakatago gamit ang PureCrypter, isang versatile na C#-based loader na ibinebenta rin bilang isang produkto ng MaaS ng isang developer na kilala bilang PureCoder. Sa sandaling aktibo, ang DLL ay iniksyon sa MSBuild.exe, na nagpapahintulot sa magnanakaw na magsimulang mangolekta ng data. Pagkatapos ay nakikipag-ugnayan ito sa isang panlabas na server at nagpapatupad ng isang PowerShell na utos upang i-download at ilunsad ang NetSupport RAT.

Ang lohika ng pagpapatupad ay dumadaan sa mga sumusunod na hakbang:

• Sinusuri kung ang system ay kabilang sa isang domain
• Naghahanap ng mga potensyal na mahahalagang file, gaya ng data ng crypto-wallet
• Magpapatuloy lamang sa pag-deploy ng NetSupport RAT kung matugunan ang isa sa mga kundisyong ito

Selective Targeting para sa Pinakamataas na Epekto

Isa sa mga hindi pangkaraniwang aspeto ng PowerShell routine ng Amatera ay ang conditional logic nito. Sinusuri ng magnanakaw kung ang infected na endpoint ay bahagi ng isang corporate domain o naglalaman ng data na may mataas na halaga. Kung hindi matugunan ang alinman sa mga pamantayan, ang NetSupport RAT ay sadyang pinipigilan, na nagmumungkahi na ang mga operator ay naghahangad na makatipid ng mga mapagkukunan at tumuon sa mga system na nag-aalok ng pinakamalaking kita.

Ang naka-target na diskarte na ito, na sinamahan ng pagmamanipula ng ClickFix at isang pinong malware ecosystem, ay binibigyang-diin ang pagtaas ng pagiging sopistikado ng mga modernong operasyon ng cybercrime.