Нова EVALUSION ClickFix кампања доставува Amatera Stealer и NetSupport RAT

Истражувачи по сајбер-безбедност открија малициозни кампањи кои ја користат сè почестата ClickFix тактика на социјален инженеринг за испорака на Amatera Stealer и NetSupport RAT.

Активноста, забележана овој месец, се следи од eSentire под името EVALUSION.

Првпат забележан во јуни 2025 година, Amatera се оценува како еволуција на ACR (кратко за „AcridRain“) Stealer, кој беше достапен под моделот malware-as-a-service (MaaS) сè до прекинот на продажбата во средината на јули 2024 година. Amatera е достапен за купување преку претплати кои се движат од 199 долари месечно до 1.499 долари за годишен пакет.

„Amatera им овозможува на заканувачите обемни можности за ексфилтрација на податоци, таргетирајќи крипто-паричници, прелистувачи, апликации за пораки, FTP клиенти и е-пошта услуги,“ соопшти канадскиот сајбер-безбедносен продавач. „Особено, Amatera користи напредни техники за избегнување како WoW64 SysCalls за да ги заобиколи user-mode hooking механизмите што често ги користат sandbox системи, антивирус решенија и EDR производи.“

Како што е типично за ClickFix нападите, корисниците се мамат да извршат малициозни команди преку Windows Run дијалогот за да завршат reCAPTCHA проверка на лажни фишинг страници. Командата иницира повеќестепен процес кој користи „mshta.exe“ за да стартува PowerShell скрипта, која пак презема .NET датотека хостирана на MediaFire.

Payload-от е DLL датотека на Amatera Stealer, спакувана со PureCrypter — повеќенаменски crypter и loader базиран на C#, кој исто така се нуди како MaaS од заканувач под името PureCoder. DLL датотеката се инјектира во процесот „MSBuild.exe“, по што stealer-от собира чувствителни податоци и контактира надворешен сервер за извршување PowerShell команда за преземање и стартување на NetSupport RAT.

„Она што е особено забележително во PowerShell скриптата што ја повикува Amatera е проверката за тоа дали машината на жртвата е дел од домен или дали има датотеки со потенцијална вредност, на пр., крипто-паричници,“ соопшти eSentire. „Ако ниту едното не се пронајде, NetSupport не се презема.“

Овој развој се совпаѓа со откривањето на неколку фишинг кампањи кои шират широк спектар на малициозни фамилии:

• Е-пораки со Visual Basic Script прилози кои се преправаат дека се фактури за да достават XWorm преку batch скрипта што повикува PowerShell loader.
• Компромитирани веб-страници со инјектиран злонамерен JavaScript што ги пренасочува посетителите кон лажни ClickFix страници кои го имитираат Cloudflare Turnstile, за да испорачаат NetSupport RAT како дел од тековна кампања под кодно име SmartApeSG (позната и како HANEYMANEY и ZPHP).
• Лажни Booking.com страници што прикажуваат лажни CAPTCHA проверки кои користат ClickFix мамки за извршување малициозна PowerShell команда што презема credential stealer кога се стартува преку Windows Run дијалог.
• Е-пораки што имитираат внатрешни „email delivery“ известувања, лажно тврдејќи дека блокирале важни пораки поврзани со фактури, пратки и RFQ (барања за понуди), со цел да ги натераат примателите да кликнат врз линк што краде ингеренции под изговор дека пораките ќе се префрлат во сандачето.
• Напади кои користат phishing комплети Cephas (кој првпат се појави во август 2024 година) и Tycoon 2FA, за да ги одведат корисниците кон лажни login страници за кражба на ингеренции.

„Она што го прави Cephas значаен е тоа што имплементира посебна и невообичаена техника за обфускација,“ стои во анализата на Barracuda објавена минатата недела. „Комплетот го замаглува својот код со создавање случајни невидливи знаци во изворниот код, што му помага да избегне анти-фишинг скенери и спречува signature-based YARA правила да ги детектираат точните фишинг методи.“

Извори:

• The Hacker News – New EVALUSION ClickFix Campaign Delivers Amatera Stealer and NetSupport RAT The Hacker News