Компания Proofpoint выявила новую угрозу в мире киберпреступности - Amatera Stealer, который является переработанной версией известного ACR Stealer. Этот вредоносный код демонстрирует повышенную изощренность и улучшенные методы противодействия анализу, что делает его серьезной проблемой для информационной безопасности.
Описание
Amatera Stealer распространяется через так называемые web-инъекции, которые представляют собой сложные цепочки атак, направленные на обман пользователей. Исследователи обнаружили значительное сходство кода с ACR Stealer, что подтверждает его происхождение. Однако новая версия получила серьезные обновления, включая усовершенствованные методы обхода антивирусных решений и изменения в системе командования и управления (C2).
Одним из ключевых изменений стало прекращение использования Steam и Telegram в качестве промежуточных каналов связи. Вместо этого Amatera Stealer теперь напрямую взаимодействует с серверами злоумышленников, что усложняет его обнаружение. Этот вредоносный код продается по модели Malware-as-a-Service (MaaS), что делает его доступным для широкого круга киберпреступников. Подписки на Amatera Stealer варьируются от $199 в месяц до $1,499 за годовой доступ, а поддержка клиентов осуществляется через Telegram.
Распространение Amatera Stealer происходит через скомпрометированные веб-сайты, которые загружают вредоносные скрипты с использованием технологии EtherHiding. Эта техника позволяет злоумышленникам скрывать вредоносный код в блокчейне, что затрудняет его блокировку. Пользователи, посещающие зараженные сайты, видят поддельную CAPTCHA, которая на самом деле запускает процесс загрузки вредоносного ПО.
Особую опасность представляет метод ClickFix, который заставляет пользователей вручную выполнять команды в PowerShell, что приводит к загрузке и запуску вредоносного кода. Этот метод сочетает социальную инженерию с техническими уловками, что делает его крайне эффективным.
Amatera Stealer написан на C++ и активно развивается. Он использует NTSockets для обхода стандартных API Windows, что делает его менее заметным для систем защиты. Кроме того, вредоносный код применяет WoW64 Syscalls для динамического вызова функций Windows, что позволяет избежать детектирования с помощью хуков пользовательского режима.
Основная цель Amatera Stealer - кража данных, включая пароли, криптовалютные кошельки, куки-файлы браузеров и другую конфиденциальную информацию. Он также способен загружать и выполнять дополнительные вредоносные модули, что расширяет его функционал.
Эксперты по безопасности предупреждают, что Amatera Stealer может стать популярным инструментом среди киберпреступников, особенно после снижения активности Lumma Stealer. Организациям рекомендуется усилить защиту, обучать сотрудников распознаванию фишинговых атак и ограничивать выполнение PowerShell-скриптов без необходимости.
В условиях растущей сложности киберугроз своевременное обнаружение и анализ таких вредоносных программ, как Amatera Stealer, становятся критически важными для обеспечения безопасности данных.
Индикаторы компрометации
IPv4
- 104.21.80.1
- 172.67.178.5
Domains
- amaprox.icu
- b1.talismanoverblown.com
- badnesspandemic.shop
- overplanteasiest.top
SHA1
- 055a883f18ffcc413973fa45383e72e998aae87909af5f9507b6384bfec34a5b
- 120316ecaf06b76a564ce42e11f7074c52df6d79b85d3526c5b4e9f362d2f1c2
- 2960d5f8a3d9b0a21d6b744092fe3089517ecf2e49169683f754bfe9800e3991
- 35eb93548a0c037d392f870c05e0e9fb1aeff3a5a505e1d4a087f7465ed1f6af
- 7d91a585583f4aa1a3ab3cb808d7bc351d6140b3ae1deeef9d51c6414c11baea
- ad9ffd624e27070092ff18a10e33fa9e2784b2c75ac9ac4540fa81cf5bd84e55
URLs
- https://cv.cbrw.ru/init1.bin
- https://cv.cbrw.ru/t.csproj
- https://tt.cbrw.ru/vb7to8.psd
ClearFake smart contract BNB Smart Chain Testnet
- 0x80d31D935f0EC978253A26D48B5593599B9542C7