EVALUSION ClickFix Kampanyası
Siber güvenlik analistleri, yaygın ClickFix sosyal mühendislik yöntemine büyük ölçüde dayanan devam eden bir kötü amaçlı etkinlik dalgasını ortaya çıkardı. EVALUSION olarak adlandırılan bu saldırı, bu tekniği hem Amatera Stealer hem de NetSupport RAT'ı dağıtmak için kullanıyor ve enfekte sistemlere kapsamlı veri hırsızlığı ve uzaktan erişim sağlıyor.
İçindekiler
ACR’den Amatera’ya: Bir Hırsızın Evrimi
Amatera'nın ilk belirtileri Haziran 2025'te ortaya çıktı ve araştırmacılar, onu daha önce kötü amaçlı yazılım hizmeti abonelik modeliyle çalışan önceki ACR (AcridRain) Stealer'ın doğrudan halefi olarak değerlendirdi. ACR satışları Temmuz 2024 ortasında sona erdikten sonra, Amatera aylık 199 ABD dolarından yıllık 1.499 ABD dolarına kadar değişen kendi kademeli fiyatlandırma yapısıyla piyasaya sürüldü ve bu da onu çeşitli tehdit aktörlerinin erişimine açtı.
Kapsamlı Hırsızlık İçin Geliştirilmiş Yetenekler
Amatera, çeşitli kullanıcı bilgilerini ele geçirmek üzere tasarlanmış kapsamlı veri toplama özellikleri sunar. Hedefleri arasında kripto cüzdanları, tarayıcılar, mesajlaşma istemcileri, FTP yardımcı programları ve e-posta programları yer alır. Tespit edilmekten kaçınmak için, deneme ortamları, AV motorları ve EDR çözümleri tarafından kullanılan yaygın kullanıcı modu izlemesini atlatmaya yardımcı olan WoW64 SysCall'lar da dahil olmak üzere gelişmiş kaçınma taktikleri kullanır.
Temel veri hedefleri şunları içerir:
- Kripto para cüzdanları ve uzantıları
- Web tarayıcıları
- Popüler mesajlaşma platformları
- FTP istemcileri
- E-posta uygulamaları
ClickFix İş Başında: Enfeksiyon Süreci
Birçok ClickFix senaryosunda görüldüğü gibi, kurbanlar sahte kimlik avı sitelerinde sahte bir reCAPTCHA sorgusu tamamlama bahanesiyle Windows Çalıştır iletişim kutusunda bir komut çalıştırmaya ikna edilir. Bu komut, bir PowerShell betiğini çalıştıran mshta.exe'yi içeren bir zincirleme reaksiyonu tetikler. Betik, MediaFire'da barındırılan bir .NET ikili dosyasını alarak yük dağıtımı için zemin hazırlar.
PureCrypter ve MSBuild: Gizli Bir Teslimat Zinciri
İndirilen bileşen, PureCoder adlı bir geliştirici tarafından MaaS ürünü olarak da satılan çok yönlü bir C# tabanlı yükleyici olan PureCrypter kullanılarak gizlenmiş bir Amatera Stealer DLL'sidir. DLL etkinleştirildikten sonra, MSBuild.exe dosyasına eklenir ve hırsızın veri toplamaya başlamasını sağlar. Ardından harici bir sunucuya ulaşır ve NetSupport RAT'ı indirip başlatmak için bir PowerShell komutu çalıştırır.
Yürütme mantığı şu adımlardan geçer:
- Sistemin bir etki alanına ait olup olmadığını kontrol eder
- Kripto cüzdan verileri gibi potansiyel olarak değerli dosyaları arar
- Yalnızca bu koşullardan biri karşılanırsa NetSupport RAT dağıtımına devam edilir
Maksimum Etki İçin Seçici Hedefleme
Amatera'nın PowerShell rutininin alışılmadık yönlerinden biri koşullu mantığıdır. Çalıcı, enfekte olmuş uç noktanın kurumsal bir etki alanının parçası olup olmadığını veya yüksek değerli veriler içerip içermediğini değerlendirir. Her iki kriter de karşılanmazsa, NetSupport RAT kasıtlı olarak engellenir; bu da operatörlerin kaynakları korumaya ve en yüksek getiriyi sunan sistemlere odaklanmaya çalıştıklarını gösterir.
Bu hedef odaklı yaklaşım, ClickFix manipülasyonu ve gelişmiş bir kötü amaçlı yazılım ekosistemi ile bir araya geldiğinde, modern siber suç operasyonlarının giderek daha karmaşık hale geldiğinin altını çiziyor.
