ОЦІНКА кампанії ClickFix
Аналітики з кібербезпеки виявили хвилю шкідливої активності, яка значною мірою спирається на поширений метод соціальної інженерії ClickFix. Ця кампанія, що відстежується як EVALUSION, використовує цю техніку для поширення Amatera Stealer та NetSupport RAT, що дозволяє здійснювати масштабну крадіжку даних та віддалений доступ до заражених систем.
Зміст
Від ACR до Amatera: Еволюція викрадача
Перші ознаки Amatera з'явилися в червні 2025 року, коли дослідники оцінили її як прямого наступника попереднього ACR (AcridRain) Stealer, який раніше працював за моделлю передплати «шкідливе програмне забезпечення як послуга». Після припинення продажів ACR в середині липня 2024 року Amatera з'явилася з власною багаторівневою ціновою структурою від 199 доларів на місяць до 1499 доларів на рік, що зробило її доступною для різноманітних зловмисників.
Можливості, створені для комплексної боротьби з крадіжками
Amatera пропонує широкі функції збору даних, призначені для компрометації різних типів інформації користувачів. Її цілі охоплюють криптогаманці, браузери, клієнти обміну повідомленнями, FTP-утиліти та поштові програми. Щоб уникнути виявлення, вона використовує передові тактики ухилення, включаючи системні виклики WoW64, які допомагають їй обійти поширений моніторинг режиму користувача, що використовується пісочницями, антивірусними механізмами та рішеннями EDR.
Ключові цільові показники даних включають:
- Криптовалютні гаманці та розширення
- Веб-браузери
- Популярні платформи для обміну повідомленнями
- FTP-клієнти
- Електронні додатки
ClickFix у дії: процес зараження
Як видно з багатьох сценаріїв ClickFix, жертв переконують виконати команду в діалоговому вікні «Виконати» Windows під виглядом завершення фальшивого тесту reCAPTCHA на шахрайських фішингових сайтах. Ця команда запускає ланцюгову реакцію за участю mshta.exe, яка виконує скрипт PowerShell. Скрипт отримує бінарний файл .NET, розміщений на MediaFire, що створює умови для розгортання корисного навантаження.
PureCrypter та MSBuild: прихований ланцюжок доставки
Завантажений компонент — це DLL-бібліотека Amatera Stealer, прихована за допомогою PureCrypter, універсального завантажувача на основі C#, який також продається як продукт MaaS розробником під назвою PureCoder. Після активації DLL-бібліотека вставляється в MSBuild.exe, що дозволяє викрадачу розпочати збір даних. Потім він звертається до зовнішнього сервера та виконує команду PowerShell для завантаження та запуску NetSupport RAT.
Логіка виконання проходить через такі кроки:
- Перевіряє, чи належить система до домену
- Шукає потенційно цінні файли, такі як дані криптогаманців
- Розгортання NetSupport RAT продовжується лише за умови виконання однієї з цих умов.
Вибіркове таргетування для максимального впливу
Одним із найнезвичайніших аспектів процедури PowerShell від Amatera є її умовна логіка. Викрадач оцінює, чи є заражена кінцева точка частиною корпоративного домену, чи містить цінні дані. Якщо жоден із критеріїв не виконується, NetSupport RAT навмисно приховується, що свідчить про те, що оператори прагнуть заощадити ресурси та зосередитися на системах, які пропонують найбільшу віддачу.
Такий цілеспрямований підхід у поєднанні з маніпуляціями ClickFix та вдосконаленою екосистемою шкідливого програмного забезпечення підкреслює зростаючу складність сучасних операцій кіберзлочинності.
