Amatera Stealer
隨著網路威脅的快速發展,保護個人和專業設備的需求變得前所未有的緊迫。 Amatera Stealer 是最新、最隱蔽的威脅之一,它是一款惡意程序,旨在悄無聲息地滲透系統、竊取敏感信息,並為進一步的入侵打開大門。 Amatera 複雜、隱密且危險,它不僅僅是一個普通的惡意軟體,而是一個以服務形式出售的全方位網路武器。
目錄
Amatera Stealer:一款商業惡意軟體
Amatera 是一款以 C++ 編寫的資訊竊取惡意軟體,其基礎是另一種名為 ACR 的威脅。它採用惡意軟體即服務 (MaaS) 模式,為網路犯罪分子提供分級定價方案,價格從每月 199 美元到每年 1499 美元不等。這種模式降低了威脅行為者的進入門檻,即使是經驗不足的人也能更容易發動嚴重攻擊。
Amatera 特別危險的原因不僅在於它的資料竊取能力,還在於它背後有一個犯罪企業為其提供定期更新、支援和分發工具。
Amatera 的目標:深入探討其目標
Amatera 的主要目標是從受感染的系統中收集各種敏感資料。其主要目標是:
瀏覽器資料:收集 cookie、表單資料和瀏覽記錄。
擴充:針對與密碼管理器和加密貨幣錢包相關的擴充。
桌面應用程式:掃描來自電子郵件用戶端、訊息應用程式(Signal、WhatsApp、XMPP)、SSH/FTP 工具和軟體錢包的資料。
文件類型和關鍵字:查看儲存磁碟機中含有與敏感資料相關的特定關鍵字或副檔名的檔案。
為了繞過 Chrome 的內建安全功能,Amatera 直接向瀏覽器注入惡意程式碼,迫使其將受保護的檔案移至可能被盜的位置。
不僅僅是竊取資料:執行惡意命令
Amatera 不僅限於被動竊盜。它還能夠:
- 下載並執行帶有 .exe、.dll、.cmd 和 .ps1 等副檔名的檔案。
- 在受感染的系統上啟動 PowerShell 腳本。
這意味著 Amatera 能夠促進額外的惡意軟體負載、保持持久性或啟用遠端訪問,從而進一步加深危害。
傳播方式:ClearFake 和社會工程學的作用
Amatera 最引人注目的傳播方式之一是 ClearFake 活動。這種欺騙性操作會入侵合法網站,並向其中註入有害腳本。這些網站通常透過釣魚郵件或惡意廣告進行存取。
金鑰分發策略包括:
偽造的 CAPTCHA 提示:向使用者提供令人信服的 CAPTCHA 挑戰,實際上執行惡意命令。
ClickFix 漏洞:濫用來呼叫 Windows 來執行對話方塊並觸發有效負載。
EtherHiding 技術:用於隱藏區塊鏈交易中的惡意程式碼並在網站訪問期間檢索它。
假冒軟體和破解程式:偽裝的安裝程式和軟體修補程式誘騙用戶安裝惡意軟體。
感染症狀及注意事項
使用者和系統管理員應警惕 Amatera 感染的以下潛在跡象:
- 無法解釋的網路活動,尤其是涉及奇怪的可執行檔。
- 瀏覽器突然崩潰或行為改變。
- 意外提示執行來自不受信任來源的系統級命令或 CAPTCHA。
- 個人文件、瀏覽器會話或加密錢包資料遺失或外洩。
如何保持安全
保護自己免受 Amatera Stealer 等高級惡意軟體威脅的侵害,需要主動預防和快速回應相結合。降低風險的最有效方法之一是確保您的防毒和反惡意軟體工具始終保持更新並即時運行。避免從可疑或非官方來源下載軟體也至關重要,因為這些來源通常用於分發惡意負載。在收到未經請求的電子郵件(尤其是包含附件或連結的電子郵件)時保持警惕,是另一個有助於預防感染的重要習慣。
保持瀏覽器擴充功能和系統軟體的更新至關重要,因為過時的版本可能包含惡意軟體可以利用的安全漏洞。您還應該注意設備上的任何異常行為,例如意外的文件存取或效能問題,這些都可能預示著活躍的威脅。
如果您懷疑某個系統已被入侵,第一步是斷開其與互聯網的連接,以阻止任何正在進行的資料外洩。使用值得信賴的安全解決方案進行全面掃描有助於識別並消除感染。事後,務必重設所有可能已暴露的密碼和存取憑證。將事件報告給貴組織的 IT 團隊或網路安全專業人員,以確保進行正確的調查和復原流程。在惡意軟體深度嵌入的嚴重情況下,可能需要完全重新安裝系統才能完全恢復裝置完整性。
最後的想法:不要低估這個威脅
Amatera Stealer 代表了網路犯罪的新面貌:模組化、商業化且侵入性極強。它擁有廣泛的攻擊能力和欺騙性傳播策略,對個人和組織都構成嚴重威脅。及時偵測並清除此惡意軟體對於保護您的身分、財務和數位生活至關重要。請保持警惕,隨時掌握最新信息,並優先考慮您的網路安全。
