评估 ClickFix 活动

网络安全分析师发现，目前正出现一波持续不断的恶意活动，该活动严重依赖于广泛使用的ClickFix社交工程攻击方法。此次名为“EVALUSION”的攻击活动利用该技术传播Amatera Stealer和NetSupport RAT，从而实现对受感染系统的大规模数据窃取和远程访问。

从ACR到Amatera：窃取者的演变

Amatera 的最初迹象出现在 2025 年 6 月，研究人员评估认为它是早期 ACR（AcridRain）窃取器的直接继任者，后者此前采用恶意软件即服务 (MaaS) 订阅模式运营。在 ACR 于 2024 年 7 月中旬停止销售后，Amatera 出现，并采用了分级定价结构，价格从每月 199 美元到每年 1499 美元不等，使其能够被各种威胁行为者所利用。

为全面盗窃而构建的能力

Amatera 提供广泛的数据收集功能，旨在窃取多种类型的用户信息。其攻击目标涵盖加密钱包、浏览器、即时通讯客户端、FTP 工具和电子邮件程序。为了避免被检测到，它采用了包括 WoW64 系统调用在内的高级规避策略，从而绕过沙箱、杀毒引擎和 EDR 解决方案常用的用户模式监控。

关键数据目标包括：

• 加密货币钱包和扩展程序
• 网络浏览器
• 热门通讯平台
• FTP客户端
• 电子邮件应用程序

ClickFix 工作实战：感染过程

在许多 ClickFix 案例中，受害者会被诱骗在 Windows 运行对话框中运行命令，而这伪装成在欺诈性钓鱼网站上完成虚假的 reCAPTCHA 验证。该命令会触发一系列连锁反应，其中涉及 mshta.exe，它会执行一个 PowerShell 脚本。该脚本会从 MediaFire 下载一个托管的 .NET 二进制文件，为有效载荷的部署做好准备。

PureCrypter 和 MSBuild：一条隐蔽的交付链

下载的组件是一个使用 PureCrypter 隐藏的 Amatera Stealer DLL。PureCrypter 是一款功能强大的基于 C# 的加载器，由名为 PureCoder 的开发者以 MaaS 产品的形式销售。激活后，该 DLL 会被注入到 MSBuild.exe 中，从而允许窃取程序开始收集数据。随后，它会连接到外部服务器并执行 PowerShell 命令，以下载并启动 NetSupport RAT。

执行逻辑按以下步骤进行：

• 检查系统是否属于某个域
• 查找潜在的有价值文件，例如加密钱包数据
• 仅当满足以下条件之一时，才继续部署 NetSupport RAT。

选择性目标以实现最大影响

Amatera 的 PowerShell 例程中一个较为特殊之处在于其条件逻辑。该窃取程序会评估受感染的终端是否属于企业域或包含高价值数据。如果这两个条件均不满足，则 NetSupport RAT 会被故意隐藏，这表明攻击者试图节省资源，并将精力集中在能够带来最大收益的系统上。

这种有针对性的方法，再加上 ClickFix 的操纵和完善的恶意软件生态系统，凸显了现代网络犯罪行动日益复杂的程度。