Киберпреступники атакуют круглосуточно: новый стилер Amatera и RAT NetSupport в одной связке

Изначальное заражение происходило через вектор ClickFix, где жертвы под социальным инженерным предлогом выполняли вредоносные команды в окне «Выполнить» Windows. После этого доставлялся Amatera Stealer, а затем NetSupport Manager RAT - легитимный инструмент удаленного администрирования, часто используемый злоумышленниками. Аналитики подчеркивают, что атака демонстрирует высокий уровень технической сложности и обширные возможности по краже данных.

Amatera Stealer обладает широким функционалом для сбора конфиденциальной информации. Он таргетирует криптокошельки, браузеры, мессенджеры, FTP-клиенты и почтовые сервисы. В частности, стилер поддерживает сбор данных для более чем 149 браузерных криптокошельков и 43 менеджеров паролей. Для обхода систем защиты Amatera использует WoW64 SysCalls, что позволяет избегать детектирования песочницами, антивирусами и EDR-решениями.

Особый интерес представляет механизм загрузки дополнительных полезных нагрузок. Аналитики eSentire обнаружили, что Amatera может выполнять произвольные команды PowerShell или запускать дополнительные вредоносные модули через параметры «ld» или «load» в конфигурации. В данной кампании эта функция использовалась для доставки NetSupport RAT. При этом перед загрузкой RAT проверялось, является ли устройство частью домена или содержит файлы криптокошельков.

Процесс атаки включает несколько этапов обфусцированного кода PowerShell. На одном из этапов используется XOR-расшифровка с ключом «AMSI_RESULT_NOT_DETECTED», что затрудняет анализ. Далее происходит отключение механизма Anti-Malware Scan Interface через перезапись строки «AmsiScanBuffer» в памяти clr.dll. Это позволяет избежать сканирования последующих стадий вредоносного кода.

Загрузчик на базе .NET, упакованный с помощью Agile.net, скачивает зашифрованную нагрузку с платформы MediaFire. Расшифровка выполняется через алгоритм RC2, после чего запускается библиотека, упакованная Pure Crypter. Эксперты отмечают, что использование легитимных сервисов для размещения вредоносных payload усложняет их обнаружение.

Коммуникация с командным сервером осуществляется через TLS с использованием Windows API для шифрования сообщений. Amatera применяет WoW64 syscall для взаимодействия через драйвер «\\Device\\Afd\\Endpoint», что позволяет обходить решения безопасности, отслеживающие вызовы стандартных API. Данные передаются в формате JSON, зашифрованные с помощью AES-256 CBC. Для усложнения анализа в HTTP-запросах используется поддельное значение заголовка Host.

eSentire разработала утилиту для извлечения конфигурации Amatera Stealer, доступную исследователям. Компания также предоставила рецепт для CyberChef, позволяющий расшифровывать коммуникации с C2-сервером. На текущий момент один из идентифицированных C2-серверов не детектируется антивирусными решениями в VirusTotal.

Рекомендации по защите включают регулярное обучение сотрудников методам социальной инженерии, ограничение прав выполнения сценариев PowerShell, мониторинг необычной сетевой активности и использование EDR-решений с возможностями поведенческого анализа. Эксперты также советуют обращать внимание на легитимные инструменты удаленного доступа, которые могут быть использованы злоумышленниками.

IPv4

• 178.156.176.74
• 45.94.47.224
• 77.110.107.175
• 87.120.219.26
• 91.98.229.246

Domains

• c70ye.ru
• ci6ef.ru
• congenialespresso.top
• ha0m.ru
• kuq5g.ru
• unpopularnational.com

URLs

• https://h2.kuq5g.ru/pwuwa75b

SHA256

• 168f1b974b31df0889e6dbe75f0fe8486cf932d72f0d6ad8348c97a2e537a738
• 26db2f20d3d84657af15509ba39f62690a06175c2d5671795e239bdbe3acbaef
• 8d84596d648444e668ee40e3ee1467b5d9ca1f7bc346778ab6aa66bad84cb7af
• a61a2efaad92e5888cf20cb2bf96b9874eac5d5aadf6456c76926ab90cbe74d7
• aad4b827858210d101ccd9f75b2caa7d207ff7dde9e7f8f8c587a0b11d198b2b
• c96d51f37b676b0fed0c5c512adfac703f397a0b695ad490cde0aa737aaa248e
• df98ce80d4437d77f2c6c7fa58c82d8cd4da37f2a0cc4b5b1e0c7d48ca4c4dd8
• ea84d5dacc5cae7e57782678a0e9bba016e959580bb1c6b2c4a02c51c8288039