Ερευνητές κυβερνοασφάλειας εντόπισαν νέες καμπάνιες malware που αξιοποιούν την πλέον καθιερωμένη τεχνική κοινωνικής μηχανικής ClickFix για τη διάδοση του Amatera Stealer και του NetSupport RAT.
Η δραστηριότητα, η οποία παρατηρήθηκε αυτόν τον μήνα, παρακολουθείται από την eSentire με την κωδική ονομασία EVALUSION.
Η εξέλιξη του Amatera Stealer από το AcridRain
Το Amatera εντοπίστηκε για πρώτη φορά τον Ιούνιο του 2025 και θεωρείται εξέλιξη του ACR («AcridRain») Stealer, το οποίο λειτουργούσε με το μοντέλο malware-as-a-service μέχρι που οι πωλήσεις του ανεστάλησαν τον Ιούλιο του 2024.
Το Amatera διατίθεται με συνδρομητικά πλάνα από 199 δολάρια τον μήνα έως 1.499 δολάρια τον χρόνο.
Σύμφωνα με την εταιρεία: «Το Amatera παρέχει στους δράστες εκτεταμένες δυνατότητες εξαγωγής δεδομένων στοχεύοντας crypto-wallets, browsers, εφαρμογές μηνυμάτων, FTP clients και υπηρεσίες email».
Παράλληλα εφαρμόζει προηγμένες τεχνικές αποφυγής εντοπισμού όπως WoW64 SysCalls, παρακάμπτοντας μηχανισμούς που βασίζονται σε user-mode hooking και χρησιμοποιούνται από sandboxes, anti-virus και προϊόντα EDR.
Η τεχνική ClickFix και η αλυσίδα μόλυνσης
Όπως συνηθίζεται στις επιθέσεις ClickFix, οι χρήστες εξαπατώνται ώστε να εκτελέσουν κακόβουλες εντολές μέσω του Windows Run dialog δήθεν για να ολοκληρώσουν μια επαλήθευση reCAPTCHA σε ψεύτικες phishing σελίδες.
Η εντολή ενεργοποιεί μια διαδικασία πολλών βημάτων που περιλαμβάνει τη χρήση του mshta.exe για την εκκίνηση PowerShell script το οποίο κατεβάζει ένα .NET αρχείο από το MediaFire.
Το ωφέλιμο φορτίο είναι το DLL του Amatera Stealer, συσκευασμένο με το PureCrypter, έναν C# πολυλειτουργικό crypter/loader που προσφέρεται επίσης ως υπηρεσία από απειλητικό παράγοντα με το όνομα PureCoder.
Το DLL εγχέεται στη διεργασία MSBuild.exe, μέσα από την οποία το stealer συλλέγει ευαίσθητα δεδομένα και επικοινωνεί με εξωτερικό server για να εκτελέσει PowerShell εντολή που κατεβάζει και εκτελεί το NetSupport RAT.
«Στο PowerShell που καλεί το Amatera υπάρχει ένας έλεγχος για το αν το θύμα ανήκει σε domain ή αν διαθέτει αρχεία υψηλής αξίας, όπως crypto wallets», σημειώνει η eSentire. «Αν δεν βρεθούν, το NetSupport δεν κατεβαίνει».
Ευρύτερη εκστρατεία phishing με πολλαπλές οικογένειες κακόβουλου λογισμικού
Η ανακάλυψη συνδέεται με πληθώρα phishing καμπανιών που προωθούν διάφορα malware:
- Emails με συνημμένα Visual Basic Script που παριστάνουν τα τιμολόγια και χρησιμοποιούν batch script για να κατεβάσουν το XWorm μέσω PowerShell loader
- Παραβιασμένοι ιστότοποι με κακόβουλο JavaScript που ανακατευθύνει σε ψεύτικες ClickFix σελίδες που μιμούνται Cloudflare Turnstile, διανέμοντας NetSupport RAT στην καμπάνια SmartApeSG
- Ψεύτικες σελίδες Booking.com με ψεύτικα CAPTCHA που ενεργοποιούν ClickFix παραπλανήσεις για εκτέλεση κακόβουλου PowerShell και εγκατάσταση credential stealer
- Emails που μιμούνται «email delivery» ειδοποιήσεις για δήθεν μπλοκαρισμένα τιμολόγια ή δέματα, οδηγώντας σε links που υποκλέπτουν διαπιστευτήρια
- Επιθέσεις με phishing kits Cephas και Tycoon 2FA που κατευθύνουν τα θύματα σε κακόβουλες login σελίδες
Σύμφωνα με την Barracuda: «Αυτό που καθιστά το Cephas αξιοσημείωτο είναι η ιδιαίτερη και σπάνια τεχνική απόκρυψης που χρησιμοποιεί. Το kit θολώνει τον κώδικά του δημιουργώντας τυχαίους αόρατους χαρακτήρες, επιτρέποντάς του να ξεφεύγει από anti-phishing scanners και signature-based YARA κανόνες».
