EVALUSION ClickFix Campaign
Các nhà phân tích an ninh mạng đã phát hiện ra một làn sóng hoạt động độc hại đang diễn ra, chủ yếu dựa vào phương pháp tấn công mạng xã hội ClickFix đang lan rộng. Chiến dịch này, được theo dõi với tên gọi EVALUSION, lợi dụng kỹ thuật này để phát tán cả Amatera Stealer và NetSupport RAT, cho phép đánh cắp dữ liệu trên diện rộng và truy cập từ xa vào các hệ thống bị nhiễm.
Mục lục
Từ ACR đến Amatera: Sự tiến hóa của một kẻ đánh cắp
Những dấu hiệu đầu tiên của Amatera xuất hiện vào tháng 6 năm 2025, khi các nhà nghiên cứu đánh giá nó là phiên bản kế nhiệm trực tiếp của ACR (AcridRain) Stealer trước đó, vốn hoạt động theo mô hình đăng ký phần mềm độc hại dưới dạng dịch vụ. Sau khi ACR ngừng bán vào giữa tháng 7 năm 2024, Amatera xuất hiện với cấu trúc giá riêng, dao động từ 199 đô la mỗi tháng đến 1.499 đô la mỗi năm, giúp nhiều đối tượng đe dọa có thể tiếp cận.
Khả năng được xây dựng cho hành vi trộm cắp toàn diện
Amatera cung cấp các tính năng thu thập dữ liệu rộng rãi được thiết kế để xâm phạm nhiều loại thông tin người dùng. Mục tiêu của nó trải rộng trên ví tiền điện tử, trình duyệt, ứng dụng nhắn tin, tiện ích FTP và chương trình email. Để tránh bị phát hiện, nó sử dụng các chiến thuật lẩn tránh tiên tiến, bao gồm WoW64 SysCalls, giúp nó tránh được việc giám sát chế độ người dùng phổ biến được sử dụng bởi các hộp cát, công cụ chống virus và các giải pháp EDR.
Các mục tiêu dữ liệu chính bao gồm:
- Ví tiền điện tử và tiện ích mở rộng
- Trình duyệt web
- Các nền tảng nhắn tin phổ biến
- Máy khách FTP
- Ứng dụng email
ClickFix đang hoạt động: Quá trình lây nhiễm
Như đã thấy trong nhiều trường hợp ClickFix, nạn nhân bị thuyết phục chạy một lệnh trong hộp thoại Run của Windows dưới chiêu bài hoàn thành thử thách reCAPTCHA giả mạo trên các trang web lừa đảo. Lệnh này kích hoạt một phản ứng dây chuyền liên quan đến mshta.exe, thực thi một tập lệnh PowerShell. Tập lệnh này sẽ truy xuất một tệp nhị phân .NET được lưu trữ trên MediaFire, tạo tiền đề cho việc triển khai payload.
PureCrypter và MSBuild: Chuỗi phân phối bí mật
Thành phần được tải xuống là một DLL Amatera Stealer được ẩn giấu bằng PureCrypter, một trình tải đa năng dựa trên C# cũng được bán dưới dạng sản phẩm MaaS bởi một nhà phát triển có tên là PureCoder. Sau khi kích hoạt, DLL được đưa vào MSBuild.exe, cho phép kẻ đánh cắp bắt đầu thu thập dữ liệu. Sau đó, nó kết nối đến một máy chủ bên ngoài và thực thi lệnh PowerShell để tải xuống và khởi chạy NetSupport RAT.
Logic thực hiện trải qua các bước sau:
- Kiểm tra xem hệ thống có thuộc về một miền nào không
- Tìm kiếm các tệp có giá trị tiềm năng, chẳng hạn như dữ liệu ví tiền điện tử
- Chỉ tiến hành triển khai NetSupport RAT nếu một trong những điều kiện này được đáp ứng
Nhắm mục tiêu có chọn lọc để đạt tác động tối đa
Một trong những khía cạnh bất thường nhất của chương trình PowerShell của Amatera là logic điều kiện của nó. Kẻ đánh cắp sẽ đánh giá xem điểm cuối bị nhiễm có thuộc miền doanh nghiệp hay chứa dữ liệu giá trị cao hay không. Nếu cả hai tiêu chí đều không đáp ứng, NetSupport RAT sẽ bị cố tình giữ lại, cho thấy các nhà điều hành đang tìm cách tiết kiệm tài nguyên và tập trung vào các hệ thống mang lại lợi nhuận cao nhất.
Cách tiếp cận có mục tiêu này, kết hợp với thao túng ClickFix và hệ sinh thái phần mềm độc hại tinh vi, nhấn mạnh sự tinh vi ngày càng tăng của các hoạt động tội phạm mạng hiện đại.
