新 ClickFix 活动“EVALUSION”部署 Amatera 窃取程序和 NetSupport RAT
EVALUSION 活动概述
网络安全研究人员发现了一波新的 ClickFix 式恶意软件攻击浪潮,该攻击同时投放 Amatera 窃取程序和 NetSupport 远程访问木马,被 eSentire 追踪命名为 EVALUSION。
ClickFix 是一种快速增长的社会工程学策略,它诱使受害者在“绕过 reCAPTCHA 验证”的幌子下,通过 Windows“运行”对话框手动执行恶意命令。这种方法绕过了许多自动安全防护措施,已成为众多恶意软件运营者的首选策略。
最近的活动在 2025 年 10 月期间被观察到,标志着 Amatera 窃取程序(AcridRain 窃取程序的继任者)及其伴随的远程访问工具的分发范围显著扩大。
Amatera 窃取程序:一个进化的恶意软件即服务平台
Amatera 窃取程序首次发现于 2025 年 6 月,通过每月 199 美元至每年 1,499 美元不等的订阅计划进行营销,这与恶意软件即服务产品的兴起趋势一致。
其主要功能包括:
- 广泛的数据窃取能力,目标包括:
- 加密货币钱包
- Web 浏览器
- 即时通讯应用
- 电子邮件客户端
- FTP 客户端
- 先进的规避方法,例如:
- 使用 WoW64 系统调用来绕过 AV、EDR 和沙箱使用的用户模式钩子
- 使用 PureCrypter(一个同样作为 MaaS 产品出售的加密器/加载器)打包的 DLL 有效载荷
一旦执行,窃取程序的 DLL 会被注入到合法的 MSBuild.exe 进程中,以窃取凭据和敏感信息。随后,它会发出 PowerShell 命令来下载 NetSupport RAT —— 但仅限于受害者的系统看起来有价值的情况。
目标逻辑:只有高价值受害者会获得 NetSupport RAT
eSentire 的分析强调了一个巧妙的过滤机制:
- 如果受感染的端点未加入域,且不包含具有财务或运营价值的文件,则 Amatera 不会下载 NetSupport RAT。
- 这避免了资源浪费,并减少了可能引起防御者警觉的“噪音”,将攻击努力集中在最有可能产生利润的受害者身上。
ClickFix 攻击的工作原理
攻击链与其他 ClickFix 驱动的活动类似:
- 用户被展示一个虚假的 CAPTCHA 或 Cloudflare Turnstile 风格的页面。
- 该页面指示他们打开 Windows“运行”对话框并粘贴一个命令。
- 执行该命令会触发 mshta.exe,后者运行一个 PowerShell 加载器。
- 加载器获取一个 .NET 有效载荷(通常来自 MediaFire)。
- Amatera 窃取程序被安装,随后是 NetSupport RAT(如果系统有价值)。
- 这种多阶段流程允许规避 EDR 检测,同时利用受信任的 Windows 二进制文件(“就地取材”)。
使用 ClickFix 的相关恶意软件活动
eSentire 和其他供应商报告称,利用 ClickFix 的活动激增,投送了各种恶意软件:
- 通过 VBS 发票诱饵传播的 XWorm
- 恶意的 VBS 附件伪装成发票。
- 批处理文件调用 PowerShell 来获取并运行 XWorm。
- SmartApeSG / HANEYMANEY / ZPHP
- 受感染的网站注入恶意 JavaScript。
- 受害者被重定向到虚假的 Cloudflare Turnstile 检查页面,这些页面会投放 NetSupport RAT。
- 虚假的 Booking.com CAPTCHA
- 针对酒店行业。
- 虚假的 CAPTCHA 页面指示用户运行投放凭据窃取程序的 PowerShell 命令。
- 电子邮件送达通知欺骗
- 欺诈性的“邮件被拦截”提示。
- 引导受害者前往旨在窃取企业登录凭据的凭据收集网站。
Cephas 与 Tycoon 2FA:不断演变的凭据钓鱼工具包
越来越多的钓鱼工具包也开始支持 ClickFix 风格的流程,包括:
- Cephas
- 出现于 2024 年 8 月。
- 使用一种独特的混淆技术,插入随机的不可见 Unicode 字符。
- 有助于规避反钓鱼扫描器并干扰 YARA 检测。
- Tycoon 2FA
- 拦截身份验证流程以窃取凭据和 2FA 令牌。
- 用于针对云服务和公司电子邮件帐户的攻击。
Barracuda 报告称,这些工具包正变得越来越隐蔽和专业化,降低了经验不足的攻击者的门槛。