Καμπάνια EVALUSION με χρήση της τεχνικής ClickFix για την ανάπτυξη του Amatera Stealer και του NetSupport RAT

Τον Νοέμβριο του 2025, εμφανίστηκε μια νέα καμπάνια κακόβουλου λογισμικού που συνδυάζει κόλπα κοινωνικής μηχανικής με προηγμένα εργαλεία κλοπής.

Η επίθεση ξεκινά όταν οι εγκληματίες εξαπατούν τους χρήστες να εκτελέσουν εντολές μέσω του παραθύρου Εκτέλεση των Windows, μια τεχνική γνωστή ως ClickFix.

Μόλις οι χρήστες ακολουθήσουν αυτές τις οδηγίες, οι υπολογιστές τους μολύνονται με το Amatera Stealer, ένα προηγμένο κομμάτι κακόβουλου λογισμικού που έχει σχεδιαστεί για να κλέβει ευαίσθητες πληροφορίες από προγράμματα περιήγησης, πορτοφόλια και διαχειριστές κωδικών πρόσβασης.

Λίγο μετά την αρχική μόλυνση, οι εισβολείς αναπτύσσουν το NetSupport RAT, δίνοντάς τους πλήρη απομακρυσμένη πρόσβαση στον υπολογιστή του θύματος.

eSentire αναλυτές ασφαλείας αναγνωρισθείς το κακόβουλο λογισμικό μετά τη δεύτερη παράγραφο, σημειώνοντας ότι αυτή η καμπάνια αντιπροσωπεύει μια σημαντική εξέλιξη στον τρόπο με τον οποίο οι εισβολείς συνδυάζουν πολλαπλά εργαλεία για μέγιστη ζημιά.

Η αλυσίδα επίθεσης λειτουργεί μέσω προσεκτικά σχεδιασμένης κοινωνικής μηχανικής. Οι εισβολείς πείθουν τους χρήστες να ανοίξουν τη γραμμή εντολών Run και να εκτελέσουν συγκεκριμένες εντολές.

Αυτές οι εντολές ενεργοποιούν μια σειρά από κρυφά στάδια που τελικά παραδίδουν το Amatera Stealer στη μηχανή του θύματος. Αυτό που το κάνει ιδιαίτερα επικίνδυνο είναι πώς το κακόβουλο λογισμικό κρύβει τον πραγματικό του σκοπό.

Χρησιμοποιεί συγκεχυμένο κώδικα PowerShell που έχει γίνει σκόπιμα δύσκολο να διαβαστεί και να κατανοηθεί. Το κακόβουλο λογισμικό χρησιμοποιεί ένα ειδικό τέχνασμα που περιλαμβάνει κρυπτογράφηση XOR με τη συμβολοσειρά “AMSI_RESULT_NOT_DETECTED” για την αποκρυπτογράφηση του επόμενου σταδίου, ενώ συγχέει τους ερευνητές ασφαλείας.

Μία από τις πιο ανησυχητικές πτυχές αυτής της καμπάνιας περιλαμβάνει τις προηγμένες τεχνικές φοροδιαφυγής που χρησιμοποιεί η Amatera Stealer. Αυτό το κακόβουλο λογισμικό ονομαζόταν αρχικά ACR Stealer και πωλήθηκε ως εγκληματική υπηρεσία από μια ομάδα που ονομάζεται SheldIO.

Τώρα που μετονομάστηκε σε Amatera, ο κλέφτης χρησιμοποιεί WoW64 SysCalls για να παρακάμψει κοινά εργαλεία ασφαλείας όπως λογισμικό προστασίας από ιούς και συστήματα ανίχνευσης τελικών σημείων. Αυτό σημαίνει ότι ακόμη και τα μηχανήματα με εγκατεστημένα ισχυρά εργαλεία ασφαλείας παραμένουν ευάλωτα.

Μηχανισμός μόλυνσης και αποφυγή ανίχνευσης

Η μόλυνση ξεκινά με ένα πρόγραμμα λήψης που βασίζεται σε .NET που ανακτά και αποκρυπτογραφεί ωφέλιμα φορτία χρησιμοποιώντας κρυπτογράφηση RC2 από υπηρεσίες όπως το MediaFire.

Αυτό το πρόγραμμα λήψης είναι γεμάτο με Agile.net για να κάνει την ανάλυση πιο δύσκολη για τις ομάδες ασφαλείας. Μόλις εκτελεστεί, αναπτύσσει ένα αρχείο γεμάτο Pure Crypter που χρησιμοποιεί εξελιγμένες τεχνικές έγχυσης διεργασιών.

Στη συνέχεια, το κακόβουλο λογισμικό απενεργοποιεί το AMSI (Anti-Malware Scan Interface) αντικαθιστώντας τη συμβολοσειρά “AmsiScanBuffer” στη μνήμη του συστήματος, απενεργοποιώντας ουσιαστικά την ενσωματωμένη σάρωση ασφαλείας των Windows για το υπόλοιπο της επίθεσης.

Η Amatera επικοινωνεί με τους διακομιστές εντολών της χρησιμοποιώντας κρυπτογραφημένες συνδέσεις που παρακάμπτουν την παραδοσιακή παρακολούθηση ασφαλείας. Χρησιμοποιεί τα Windows API σε συνδυασμό με συστήματα συστήματος WoW64 για την κρυπτογράφηση όλων των επικοινωνιών με το AES-256-CBC, καθιστώντας την επιθεώρηση κυκλοφορίας σχεδόν αδύνατη.

Το κακόβουλο λογισμικό συλλέγει κλεμμένα δεδομένα σε αρχεία zip και τα στέλνει σε διακομιστές εγκληματιών χρησιμοποιώντας αυτά τα κρυπτογραφημένα κανάλια. Μέσω της λειτουργίας φορτωτή του, μπορεί να εκτελεί επιλεκτικά πρόσθετα ωφέλιμα φορτία σε πολύτιμους στόχους, όπως υπολογιστές που περιέχουν πορτοφόλια κρυπτονομισμάτων ή μηχανήματα συνδεδεμένα σε επιχειρηματικά δίκτυα.

Αυτή η επιλεκτική προσέγγιση βοηθά τους επιτιθέμενους να αποφύγουν τη σπατάλη χρόνου σε στόχους χαμηλής αξίας και να επικεντρωθούν σε οργανισμούς με πραγματικά οικονομικά περιουσιακά στοιχεία. Η εξελιγμένη φύση αυτής της καμπάνιας υπογραμμίζει γιατί η σύγχρονη ασφάλεια απαιτεί πολλαπλά επίπεδα προστασίας.