Amatera Stealer
随着网络威胁的飞速发展,保护个人和专业设备的需求变得前所未有的紧迫。Amatera Stealer 是最新、最隐蔽的威胁之一,它是一款恶意程序,旨在悄无声息地渗透系统、窃取敏感信息,并为进一步的入侵打开大门。Amatera 复杂、隐秘且危险,它不仅仅是一个普通的恶意软件,而是一个以服务形式出售的全方位网络武器。
目录
Amatera Stealer:一款商业恶意软件
Amatera 是一款用 C++ 编写的信息窃取恶意软件,其基础是另一种名为 ACR 的威胁。它采用恶意软件即服务 (MaaS) 模式,面向网络犯罪分子提供分级定价方案,价格从每月 199 美元到每年 1499 美元不等。这种模式降低了威胁行为者的进入门槛,即使是经验不足的人也能更容易地发动严重攻击。
Amatera 特别危险的原因不仅在于它的数据窃取能力,还在于它背后有一个犯罪企业为其提供定期更新、支持和分发工具。
Amatera 的目标:深入探究其目标
Amatera 的主要目标是从受感染的系统中收集各种敏感数据。其主要目标是:
浏览器数据:收集 cookie、表单数据和浏览历史记录。
扩展:针对与密码管理器和加密货币钱包相关的扩展。
桌面应用程序:扫描来自电子邮件客户端、消息应用程序(Signal、WhatsApp、XMPP)、SSH/FTP 工具和软件钱包的数据。
文件类型和关键字:查看存储驱动器中含有与敏感数据相关的特定关键字或扩展名的文件。
为了绕过 Chrome 的内置安全功能,Amatera 直接向浏览器注入恶意代码,迫使其将受保护的文件移动到可能被盗的位置。
不仅仅是窃取数据:执行恶意命令
Amatera 不仅限于被动盗窃。它还能够:
- 下载并执行带有 .exe、.dll、.cmd 和 .ps1 等扩展名的文件。
- 在受感染的系统上启动 PowerShell 脚本。
这意味着 Amatera 能够促进额外的恶意软件负载、保持持久性或启用远程访问,从而进一步加深危害。
传播方式:ClearFake 和社会工程学的作用
Amatera 最引人注目的传播方式之一是 ClearFake 活动。这种欺骗性操作会入侵合法网站,并向其中注入有害脚本。这些网站通常通过钓鱼邮件或恶意广告进行访问。
密钥分发策略包括:
伪造的 CAPTCHA 提示:向用户提供令人信服的 CAPTCHA 挑战,实际上执行恶意命令。
ClickFix 漏洞:滥用来调用 Windows 运行对话框并触发有效负载。
EtherHiding 技术:用于隐藏区块链交易中的恶意代码并在网站访问期间检索它。
假冒软件和破解程序:伪装的安装程序和软件补丁诱骗用户安装恶意软件。
感染症状及注意事项
用户和系统管理员应警惕 Amatera 感染的以下潜在迹象:
- 无法解释的网络活动,尤其是涉及奇怪的可执行文件。
- 浏览器突然崩溃或行为改变。
- 意外提示运行来自不受信任来源的系统级命令或 CAPTCHA。
- 个人文件、浏览器会话或加密钱包数据丢失或泄露。
如何保持安全
保护自己免受 Amatera Stealer 等高级恶意软件威胁的侵害,需要主动预防和快速响应相结合。降低风险的最有效方法之一是确保您的防病毒和反恶意软件工具始终保持更新并实时运行。避免从可疑或非官方来源下载软件也至关重要,因为这些来源通常用于分发恶意负载。在收到未经请求的电子邮件(尤其是包含附件或链接的电子邮件)时保持警惕,是另一个有助于预防感染的重要习惯。
保持浏览器扩展程序和系统软件的更新至关重要,因为过时的版本可能包含恶意软件可以利用的安全漏洞。您还应该注意设备上的任何异常行为,例如意外的文件访问或性能问题,这些都可能预示着存在活跃的威胁。
如果您怀疑某个系统已被入侵,第一步是断开其与互联网的连接,以阻止任何正在进行的数据泄露。使用值得信赖的安全解决方案进行全面扫描有助于识别并消除感染。事后,务必重置所有可能已暴露的密码和访问凭据。将事件报告给贵组织的 IT 团队或网络安全专业人员,以确保进行正确的调查和恢复流程。在恶意软件深度嵌入的严重情况下,可能需要完全重新安装系统才能完全恢复设备完整性。
最后的想法:不要低估这一威胁
Amatera Stealer 代表了网络犯罪的新面貌:模块化、商业化且侵入性极强。它拥有广泛的攻击能力和欺骗性传播策略,对个人和组织都构成严重威胁。及时检测并清除此恶意软件对于保护您的身份、财务和数字生活至关重要。请保持警惕,随时掌握最新信息,并优先考虑您的网络安全。
