Bilgisayar korsanları Amatera Stealer’ı Gelişmiş Web Enjeksiyonu ve Anti-Analiz Tekniklerini Kullanarak Dağıtım


Proofpoint, daha önce bilinen ACR Stealer’dan türetilen Amatera Stealer adlı yeniden markalı ve önemli ölçüde geliştirilmiş bir bilgi çalkayı ortaya çıkardı.

2025’in başlarında tanımlanan bu kötü amaçlı yazılım, selefi ile önemli bir kod örtüşüyor, ancak onu farklı ve zorlu bir tehdit olarak işaretleyen gelişmiş özellikler ve gizli mekanizmalar sunuyor.

ACR Stealer’ın sofistike bir evrimi

Ayda 199 $ ‘dan yılda 1.499 $’ a kadar değişen abonelik planları olan bir hizmet olarak kötü amaçlı yazılım (MAAS) olarak satılan Amatera Stealer, anti-analiz tekniklerini ve sofistike saldırı zincirlerini dahil ederek aktif olarak gelişmektedir.

– Reklamcılık –
Google Haberleri

Ortaya çıkması, ACR stealer satışlarının Temmuz 2024’te askıya alınmasını izliyor ve Lumma Stealer’ın bozulmasına denk geliyor ve Amatera’yı güvenilir MaaS çözümleri arayan siber suçlular için bir seçenek olarak konumlandırıyor.

Amatera Stealer öncelikle karmaşık web enjeksiyon kampanyaları aracılığıyla, özellikle kötü amaçlı HTML ve JavaScript ile meşru web sitelerini tehlikeye atan ClearFake kümesi aracılığıyla dağıtılır.

Nisan ve Mayıs 2025’te gözlemlenen bu kampanyalar, kötü amaçlı komut dosyalarını barındırmak için Binance akıllı zincir sözleşmelerini ve kullanıcıları sahte captcha doğrulamaları aracılığıyla komutları yürütmeye kandıran bir sosyal mühendislik yöntemi olan ClickFix’i kullanarak eterhiding gibi tekniklerden yararlanır.

  Amatera Stealer
Sahte captcha doğrulaması.

Proofpoint Report’a göre, bu lures kullanıcıları Windows Run iletişim kutusunu Windows tuşu + R ile açmaya, kötü niyetli PowerShell komutlarını yapıştırmaya ve sonuçta Amatera Stealer’ı çok katmanlı yükleyiciler ve kabuk kodu enjeksiyonu ile dağıtmaya teşvik eder.

Yenilikçi Dağıtım

Web enjeksiyonlarının ötesinde, kötü amaçlı yazılım, çok yönlülüğünü sergileyen yazılım çatlakları ve sahte indirmelerden yayılır.

Teknik cephede Amatera, komut ve kontrol (C2) iletişimi için NTSOCKET’ler kullanır ve Stealth’i geliştirmek için standart Windows ağ API’lerini atlar.

Ayrıca, son nokta algılama ve yanıt (EDR) araçları tarafından yaygın olarak kullanılan kullanıcı modu kancalarından kaçarak API’leri dinamik olarak çözmek ve yürütmek için WOW64 Syscalls kullanır.

  Amatera Stealer
PowerShell’i çağıran kod çözülmüş yük url.

Ayrıca, kötü amaçlı yazılım, CloudFlare gibi meşru içerik dağıtım ağlarına bağlı olan sert kodlanmış IP adresleri aracılığıyla C2 sunucularına bağlanır ve DNS çözünürlüğünden kaçınarak ve araştırmacı müdahalesine karşı CDN korumasını kullanarak kötü niyetli niyetini daha da gizler.

Kötü amaçlı yazılımların yetenekleri, tarayıcılardan, kripto para birimi cüzdanlarından, e -posta istemcilerinden ve mesajlaşma uygulamalarından hassas verileri çalmaya odaklanırken, aynı zamanda daha fazla sömürü için ikincil yük yürütmesini desteklemektedir.

HTTP üzerinden JSON BLOBS olarak teslim edilen C2 yapılandırması, ek kötü amaçlı dosyaların veya komut dosyalarının yürütülmesi de dahil olmak üzere dinamik davranış ayarlamasını sağlar.

Amatera Stealer, C2 etkileşimleri için potansiyel HTTPS desteği gibi özelliklerle gelişmeye devam ettikçe, gizleme, şifreleme ve yenilikçi teslimat yöntemleri yoluyla tespiti atlama yeteneği, siber güvenlik savunmaları için önemli bir zorluk oluşturmaktadır.

Kuruluşlar, sosyal mühendislik taktikleri konusunda kullanıcı eğitimini desteklemeye ve bu riskleri azaltmak için yetkisiz PowerShell senaryo yürütmesini kısıtlamaya istenmektedir.

Uzlaşma Göstergeleri (IOCS)

Tip Değer Notalar
SHA256 120316ecaf06b76a564ce42e11f7074c52df6d79b85d3526c5b4e9f362d2f1c2 Amatera Stealer: NTSOCKETS kullanımı, HTTPS desteği yok
IP adresi 104.21.80.1 Amatera C2, Overplanteasest ile bağlantılı[.]tepe
Alan/URL Proxs[.]YBÜ HTTPS Güvenlik Bağlam Başlatma için Amatera Altyapısı
Akıllı sözleşme 0x80d31d935f0ec978253a26d48b59359b9542c7 BNB akıllı zincirinde clear pheake akıllı sözleşme adresi testNet

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin



Source link