Siber güvenlik araştırmacıları, Amatera Stealer ve NetSupport RAT’ı dağıtmak için artık yaygın olan ClickFix sosyal mühendislik taktiğini kullanan kötü amaçlı yazılım kampanyalarını keşfetti.
Bu ay gözlemlenen etkinlik eSentire tarafından takip ediliyor DEĞERLENDİRME.
İlk olarak Haziran 2025’te tespit edilen Amatera’nın, kötü amaçlı yazılımın satışları Temmuz 2024 ortasında askıya alınana kadar hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında sunulan ACR (“AcridRain” kısaltması) Stealer’ın bir evrimi olduğu değerlendiriliyor. Amatera, aylık 199 ABD Dolarından bir yıl boyunca 1.499 ABD Dolarına kadar değişen abonelik planları aracılığıyla satın alınabiliyor.
Kanadalı siber güvenlik sağlayıcısı, “Amatera, tehdit aktörlerine kripto cüzdanları, tarayıcıları, mesajlaşma uygulamalarını, FTP istemcilerini ve e-posta hizmetlerini hedef alan kapsamlı veri sızma yetenekleri sağlıyor” dedi. “Amatera, özellikle korumalı alanlar, Anti-Virüs çözümleri ve EDR ürünleri tarafından yaygın olarak kullanılan kullanıcı modu kancalama mekanizmalarını atlatmak için WoW64 Sistem Çağrıları gibi gelişmiş kaçınma tekniklerini kullanıyor.”
Genellikle ClickFix saldırılarında olduğu gibi, kullanıcılar sahte kimlik avı sayfalarında reCAPTCHA doğrulama kontrolünü tamamlamak için Windows Çalıştır iletişim kutusunu kullanarak kötü amaçlı komutlar yürütmeye yönlendirilir. Komut, bir dosya barındırma hizmeti olan MediaFire’dan indirilen bir .NET’in indirilmesinden sorumlu bir PowerShell betiğini başlatmak için “mshta.exe” ikili dosyasının kullanılmasını içeren çok adımlı bir işlemi başlatır.
Yük, PureCoder adlı bir tehdit aktörü tarafından MaaS teklifi olarak da tanıtılan, C# tabanlı çok işlevli bir şifreleyici ve yükleyici olan PureCrypter kullanılarak paketlenmiş Amatera Stealer DLL’dir. DLL “MSBuild.exe” işlemine enjekte edilir, ardından hırsız hassas verileri toplar ve NetSupport RAT’ı getirip çalıştırmak için bir PowerShell komutunu yürütmek üzere harici bir sunucuyla bağlantı kurar.
eSentire, “Amatera tarafından başlatılan PowerShell’de özellikle dikkate değer olan şey, kurban makinenin bir alanın parçası olup olmadığını veya kripto cüzdanları gibi potansiyel değere sahip dosyalara sahip olup olmadığını belirlemek için yapılan bir kontroldür” dedi. “Her ikisi de bulunamazsa NetSupport indirilmez.”
Bu gelişme, çok çeşitli kötü amaçlı yazılım ailelerini yayan çeşitli kimlik avı kampanyalarının keşfedilmesiyle örtüşüyor.
- PowerShell yükleyicisini çağıran bir toplu komut dosyası aracılığıyla XWorm’u teslim etmek için fatura gibi görünen Visual Basic Komut Dosyası eklerini içeren e-postalar
- Güvenliği ihlal edilmiş web siteleri, site ziyaretçilerini SmartApeSG (diğer adıyla HANEYMANEY ve ZPHP) kod adlı devam eden bir kampanyanın parçası olarak NetSupport RAT sunmak için Cloudflare Turnike kontrollerini taklit eden sahte ClickFix sayfalarına yönlendiren kötü amaçlı JavaScript enjekte edilmiştir.
- ClickFix’i kullanan sahte CAPTCHA denetimlerini görüntülemek için sahte Booking.com sitelerini kullanmak, Windows Çalıştır iletişim kutusu aracılığıyla yürütüldüğünde kimlik bilgileri hırsızını devre dışı bırakan kötü amaçlı bir PowerShell komutunu çalıştırmaya teşvik eder
- Alıcıları, mesajları gelen kutusuna taşıma bahanesi altında oturum açma kimlik bilgilerini sifonlayan bir bağlantıya tıklamaları için kandırmak amacıyla, ödenmemiş faturalar, paket teslimatları ve Fiyat Teklifi İsteği (RFQ’lar) ile ilgili önemli mesajları engellediğini sahte bir şekilde iddia eden dahili “e-posta teslimi” bildirimlerini taklit eden e-postalar
- Kullanıcıları kimlik bilgileri hırsızlığı için kötü amaçlı giriş sayfalarına yönlendirmek amacıyla Cephas (ilk olarak Ağustos 2024’te ortaya çıktı) ve Tycoon 2FA adlı kimlik avı kitlerini kullanan saldırılar
Geçen hafta yayınlanan bir analizde Barracuda, “Cephas’ı dikkate değer kılan şey, kendine özgü ve alışılmadık bir şaşırtma tekniği uygulamasıdır” dedi. “Kit, kaynak kodu içinde, kimlik avı önleme tarayıcılarından kaçmasına yardımcı olan ve imza tabanlı YARA kurallarının kimlik avı yöntemleriyle tam olarak eşleşmesini engelleyen rastgele görünmez karakterler oluşturarak kodunu gizler.”