評估 ClickFix 活動

網路安全分析師發現，目前正出現一波持續不斷的惡意活動，該活動嚴重依賴廣泛使用的ClickFix社交工程攻擊方法。此次名為「EVALUSION」的攻擊活動利用該技術傳播Amatera Stealer和NetSupport RAT，從而實現對受感染系統的大規模資料竊取和遠端存取。

從ACR到Amatera：竊取者的演變

Amatera 的最初跡像出現在 2025 年 6 月，研究人員評估認為它是早期 ACR（AcridRain）竊取器的直接繼任者，後者先前採用惡意軟體即服務 (MaaS) 訂閱模式運作。在 ACR 於 2024 年 7 月中旬停止銷售後，Amatera 出現，並採用了分級定價結構，價格從每月 199 美元到每年 1499 美元不等，使其能夠被各種威脅行為者所利用。

為全面盜竊而建構的能力

Amatera 提供廣泛的資料收集功能，旨在竊取多種類型的使用者資訊。其攻擊目標涵蓋加密錢包、瀏覽器、即時通訊用戶端、FTP 工具和電子郵件程式。為了避免被偵測到，它採用了包括 WoW64 系統呼叫在內的高階規避策略，從而繞過沙箱、防毒引擎和 EDR 解決方案常用的使用者模式監控。

關鍵數據目標包括：

• 加密貨幣錢包和擴充程序
• 網路瀏覽器
• 熱門通訊平台
• FTP客戶端
• 電子郵件應用程式

ClickFix 工作實戰：感染過程

在許多 ClickFix 案例中，受害者會被誘騙在 Windows 執行對話方塊中執行命令，而這偽裝成在詐騙釣魚網站上完成虛假的 reCAPTCHA 驗證。這個指令會觸發一系列連鎖反應，其中涉及 mshta.exe，它會執行一個 PowerShell 腳本。該腳本會從 MediaFire 下載一個託管的 .NET 二進位文件，為有效載荷的部署做好準備。

PureCrypter 和 MSBuild：一條隱藏的交付鏈

下載的元件是一個使用 PureCrypter 隱藏的 Amatera Stealer DLL。 PureCrypter 是一款功能強大的基於 C# 的載入器，由名為 PureCoder 的開發者以 MaaS 產品的形式銷售。啟動後，該 DLL 會被注入到 MSBuild.exe 中，從而允許竊取程式開始收集資料。隨後，它會連接到外部伺服器並執行 PowerShell 命令，以下載並啟動 NetSupport RAT。

執行邏輯按以下步驟進行：

• 檢查系統是否屬於某個域
• 尋找潛在的有價值文件，例如加密錢包數據
• 只有在滿足以下條件之一時，才繼續部署 NetSupport RAT。

選擇性目標以達到最大影響

Amatera 的 PowerShell 例程中一個較為特殊之處在於其條件邏輯。此竊取程序會評估受感染的終端是否屬於企業域或包含高價值資料。如果這兩個條件均不滿足，則 NetSupport RAT 會被故意隱藏，這表示攻擊者試圖節省資源，並將精力集中在能夠帶來最大收益的系統上。

這種有針對性的方法，再加上 ClickFix 的操縱和完善的惡意軟體生態系統，凸顯了現代網路犯罪行動日益複雜的程度。