Các nhà nghiên cứu an ninh mạng đã phát hiện các chiến dịch phần mềm độc hại sử dụng chiến thuật kỹ thuật xã hội ClickFix phổ biến hiện nay để triển khai Amatera Stealer và NetSupport RAT.
Hoạt động này, được quan sát trong tháng này, đang được eSentire theo dõi dưới tên mã EVALUSION.
Được phát hiện lần đầu tiên vào tháng 6 năm 2025, Amatera được đánh giá là một sự phát triển của ACR (viết tắt của "AcridRain") Stealer, vốn được cung cấp theo mô hình malware-as-a-service (MaaS) cho đến khi ngừng bán vào giữa tháng 7 năm 2024. Amatera có sẵn để mua thông qua các gói đăng ký từ 199 đô la mỗi tháng đến 1.499 đô la cho một năm.
"Amatera cung cấp cho các tác nhân đe dọa khả năng đánh cắp dữ liệu rộng rãi, nhắm mục tiêu vào các ví crypto, trình duyệt, ứng dụng nhắn tin, FTP clients và dịch vụ email," nhà cung cấp an ninh mạng của Canada cho biết. "Đáng chú ý, Amatera employs advanced evasion techniques such as WoW64 SysCalls để vượt qua các cơ chế hooking ở chế độ người dùng thường được sử dụng bởi các sandboxes, Anti-Virus solutions, và EDR products."
Như thường lệ với các cuộc tấn công ClickFix, người dùng bị lừa thực thi các lệnh độc hại bằng cách sử dụng hộp thoại Windows Run để hoàn tất kiểm tra xác minh reCAPTCHA trên các trang phishing giả mạo. Lệnh này khởi tạo một quy trình nhiều bước bao gồm việc sử dụng binary "mshta.exe" để khởi chạy một PowerShell script chịu trách nhiệm tải xuống một file .NET từ MediaFire, một dịch vụ lưu trữ file.
Payload là Amatera Stealer DLL được đóng gói bằng PureCrypter, một C#-based multi-functional crypter và loader cũng được quảng cáo dưới dạng MaaS bởi một tác nhân đe dọa có tên PureCoder. DLL này được tiêm vào quá trình "MSBuild.exe", sau đó stealer sẽ thu thập dữ liệu nhạy cảm và liên hệ với một máy chủ bên ngoài để thực thi lệnh PowerShell để lấy và chạy NetSupport RAT.
"Điều đặc biệt đáng chú ý trong PowerShell được Amatera gọi là một kiểm tra để xác định xem máy nạn nhân có thuộc về một domain hay có các tệp có giá trị tiềm năng, ví dụ: ví crypto," eSentire cho biết. "Nếu không tìm thấy, NetSupport sẽ không được tải xuống."
Sự phát triển này song hành với việc phát hiện ra nhiều chiến dịch phishing phát tán nhiều loại phần mềm độc hại khác nhau -
- Email chứa các tệp đính kèm Visual Basic Script giả mạo hóa đơn để phát tán XWorm thông qua một batch script gọi một PowerShell loader
- Các trang web bị xâm nhập bị tiêm JavaScript độc hại chuyển hướng khách truy cập trang web đến các trang ClickFix giả mạo bắt chước kiểm tra Cloudflare Turnstile để phát tán NetSupport RAT như một phần của chiến dịch đang diễn ra có tên mã SmartApeSG (còn gọi là HANEYMANEY và ZPHP)
- Sử dụng các trang web Booking.com giả mạo để hiển thị các kiểm tra CAPTCHA giả sử dụng mồi nhử ClickFix để chạy một lệnh PowerShell độc hại thả một credential stealer khi được thực thi qua hộp thoại Windows Run
- Email mạo danh thông báo "email delivery" nội bộ tuyên bố sai rằng đã chặn các tin nhắn quan trọng liên quan đến hóa đơn chưa thanh toán, giao hàng gói hàng và Request for Quotations (RFQs) nhằm lừa người nhận nhấp vào một liên kết đánh cắp thông tin đăng nhập với lý do chuyển tin nhắn vào hộp thư đến
- Các cuộc tấn công sử dụng các bộ công cụ phishing có tên Cephas (xuất hiện lần đầu vào tháng 8 năm 2024) và Tycoon 2FA để dẫn người dùng đến các trang đăng nhập độc hại nhằm đánh cắp thông tin đăng nhập
"Điều làm cho Cephas đáng chú ý là nó triển khai một kỹ thuật obfuscation độc đáo và không phổ biến," Barracuda cho biết trong một phân tích được công bố vào tuần trước. "Bộ công cụ này làm mờ mã của nó bằng cách tạo ra các ký tự ẩn ngẫu nhiên trong mã nguồn giúp nó né tránh các máy quét anti-phishing và cản trở các quy tắc YARA dựa trên chữ ký khớp với các phương pháp phishing chính xác."
