VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra các chiến dịch phần mềm độc hại sử dụng chiến thuật kỹ thuật xã hội ClickFix hiện đang phổ biến để triển khai Amatera Stealer và NetSupport RAT.

Hoạt động này được quan sát trong tháng này và đang được eSentire theo dõi dưới tên gọi EVALUSION.


Được phát hiện lần đầu tiên vào tháng 6 năm 2025, Amatera được đánh giá là phiên bản tiến hóa của ACR (viết tắt của "AcridRain") Stealer, vốn có sẵn theo mô hình phần mềm độc hại dưới dạng dịch vụ (MaaS) cho đến khi việc bán phần mềm độc hại này bị đình chỉ vào giữa tháng 7 năm 2024. Amatera có thể được mua thông qua các gói đăng ký có giá từ 199 đô la mỗi tháng đến 1.499 đô la một năm.

"Amatera cung cấp cho các tác nhân đe dọa khả năng đánh cắp dữ liệu toàn diện nhắm vào ví tiền điện tử, trình duyệt, ứng dụng nhắn tin, máy khách FTP và dịch vụ email", nhà cung cấp an ninh mạng Canada cho biết. "Đáng chú ý, Amatera sử dụng các kỹ thuật né tránh tiên tiến như WoW64 SysCalls để tránh các cơ chế móc nối chế độ người dùng thường được sử dụng bởi các hộp cát, giải pháp chống vi-rút và các sản phẩm EDR."

Như thường lệ với các cuộc tấn công ClickFix, người dùng bị lừa thực thi các lệnh độc hại bằng hộp thoại Run của Windows để hoàn tất kiểm tra xác minh reCAPTCHA trên các trang lừa đảo giả mạo. Lệnh này khởi tạo một quy trình gồm nhiều bước, bao gồm việc sử dụng tệp nhị phân "mshta.exe" để khởi chạy một tập lệnh PowerShell chịu trách nhiệm tải xuống   Đăng nhập để xem liên kết được tải xuống từ MediaFire, một dịch vụ lưu trữ tệp.

Tải trọng là DLL Amatera Stealer được đóng gói bằng PureCrypter, một trình mã hóa và tải đa chức năng dựa trên C#, cũng được quảng cáo là dịch vụ MaaS bởi một tác nhân đe dọa có tên PureCoder. DLL được đưa vào quy trình "MSBuild.exe", sau đó kẻ đánh cắp sẽ thu thập dữ liệu nhạy cảm và liên hệ với máy chủ bên ngoài để thực thi lệnh PowerShell nhằm tìm nạp và chạy NetSupport RAT.


"Điều đặc biệt đáng chú ý trong PowerShell do Amatera kích hoạt là việc kiểm tra xem máy nạn nhân có phải là một phần của miền hay có chứa các tệp có giá trị tiềm năng, ví dụ như ví tiền điện tử hay không", eSentire cho biết. "Nếu không tìm thấy cả hai, NetSupport sẽ không được tải xuống."

Sự phát triển này trùng khớp với việc phát hiện ra một số chiến dịch lừa đảo phát tán nhiều loại phần mềm độc hại khác nhau:

    Email chứa tệp đính kèm Visual Basic Script được ngụy trang dưới dạng hóa đơn để phân phối XWorm thông qua một tập lệnh hàng loạt gọi trình tải PowerShell
    Các trang web bị xâm phạm được tiêm JavaScript độc hại chuyển hướng người truy cập trang web đến các trang ClickFix giả mạo bắt chước các kiểm tra Cloudflare Turnstile để phân phối NetSupport RAT như một phần của chiến dịch đang diễn ra có tên mã là SmartApeSG (hay còn gọi là HANEYMANEY và ZPHP)
    Sử dụng các trang web   Đăng nhập để xem liên kết giả mạo để hiển thị các kiểm tra CAPTCHA giả mạo sử dụng mồi nhử ClickFix để chạy lệnh PowerShell độc hại, thả một chương trình đánh cắp thông tin đăng nhập khi được thực thi thông qua hộp thoại Chạy của Windows
    Email giả mạo thông báo "gửi email" nội bộ, giả mạo thông báo đã chặn các tin nhắn quan trọng liên quan đến hóa đơn chưa thanh toán, giao hàng theo gói và Yêu cầu báo giá (RFQ) nhằm lừa người nhận nhấp vào liên kết đánh cắp thông tin đăng nhập với lý do chuyển tin nhắn vào hộp thư đến
    Các cuộc tấn công sử dụng bộ công cụ lừa đảo có tên Cephas (lần đầu tiên xuất hiện vào tháng 8 năm 2024) và Tycoon 2FA để dẫn người dùng đến các trang đăng nhập độc hại nhằm đánh cắp thông tin đăng nhập

"Điều khiến Cephas đáng chú ý là nó áp dụng một kỹ thuật che giấu đặc biệt và hiếm gặp", Barracuda cho biết trong một bài phân tích được công bố tuần trước. "Bộ công cụ này che giấu mã nguồn bằng cách tạo ra các ký tự vô hình ngẫu nhiên trong mã nguồn, giúp nó tránh được các trình quét chống lừa đảo và ngăn chặn các quy tắc YARA dựa trên chữ ký khớp với chính xác các phương thức lừa đảo."