EVALUSION: ClickFix Kampanyası ile Amatera Stealer ve NetSupport RAT Dağıtımı
Son günlerde, siber güvenlik araştırmacıları, gelişmiş sosyal mühendislik taktiği ClickFix’i kullanarak Amatera Stealer ve NetSupport RAT’ı dağıtan yeni bir kötü amaçlı yazılım kampanyası keşfetti. Bu faaliyetler, bu ay eSentire tarafından EVALUSION adı altında takip ediliyor.
Amatera Stealer Nedir?
Amatera, önceki ACR (AcridRain) Stealer’ın evrimi olarak değerlendirilen bir kötü amaçlı yazılımdır. ACR, geçmişte malware-as-a-service (MaaS) modeli ile satılmaktaydı, ancak satışı mid-Temmuz 2024’te durdurulmuştur. Amatera, aylık 199 dolardan yıllık 1499 dolara kadar değişen abonelik planlarıyla satılmaktadır.
Veri Sızdırma Yeteneği
Amatera, tehdit aktörlerine geniş veri sızdırma yetenekleri sunmaktadır. Özellikle, kripto cüzdanları, tarayıcılar, mesajlaşma uygulamaları, FTP istemcileri ve e-posta hizmetlerini hedef alır. Bu kötü amaçlı yazılım, kullanıcı modundaki yakalama mekanizmalarını aşmak için WoW64 SysCalls gibi gelişmiş kaçış teknikleri kullanmaktadır.
ClickFix Taktiklerinin Çalışma Prensibi
ClickFix saldırıları, kullanıcıların sahte phishing sayfalarında reCAPTCHA doğrulama kontrolünü tamamlamak için kötü amaçlı komutları çalıştırmaya ikna edilmesi prensibine dayanır. Bu süreç, “mshta.exe” binary’sinin bir PowerShell scriptini başlatmasıyla başlar. Ardından, bu script bir .NET dosyasını MediaFire hizmetinden indirir.
Kötü Amaçlı Yük ve Enjeksiyon
İndirilen yük, PureCrypter ile paketlenmiş Amatera Stealer DLL’sidir. Bu DLL, “MSBuild.exe” sürecine enjekte edilir ve burada hassas verileri toplayarak dış bir sunucuya bağlanır. Sonrasında PowerShell komutunu çalıştırarak NetSupport RAT’ı indirmeye ve çalıştırmaya yönelir.
Hedef Tespiti ve Verimliliği
Amatera tarafından tetiklenen PowerShell scripti, saldırıdan etkilenen makinenin bir domain parçası olup olmadığını kontrol eder. Eğer makinede değerli dosyalar, örneğin kripto cüzdanları yoksa, NetSupport indirilmiyor. Bu durum, saldırıların daha hedef odaklı olmasını sağlıyor.
Diğer Kötü Amaçlı Yazılım Kampanyaları
EVALUSION ile birlikte birçok diğer phishing kampanyası da keşfedildi. Bu kampanyalar arasında şu unsurlar yer alıyor:
- E-posta Saldırıları: Visual Basic Script ekleri içeren e-postalar, XWorm’u dağıtmak için PowerShell yükleyici çalıştırıyor.
- Zararlı JavaScript ile Enjekte Edilen Web Siteleri: Kompromiye edilmiş web siteleri, kullanıcıları sahte ClickFix sayfalarına yönlendirerek NetSupport RAT’ı dağıtıyor.
- Sahte Booking.com Siteleri: Kullanıcıları yanıltarak sahte CAPTCHA kontrolleriyle kötü amaçlı PowerShell komutlarını çalıştırıyor.
- Kimlik Bilgisi Hırsızlığı: İç e-posta bildirimlerini taklit eden sahte e-postalar, kullanıcıları zararlı bağlantılara yönlendiriyor.
Cephas Phishing Kit’in Özellikleri
Cephas phishing kit’i, aldatma yöntemlerinde farklı ve alışılmadık bir obfuscation tekniği kullanıyor. Bu kit, kaynak kodunda rastgele görünmez karakterler oluşturarak anti-phishing tarayıcılarını aşmayı başarıyor.
Bu tür siber tehditlere karşı dikkatli olmak ve uyarmak, bireyler ve kuruluşlar için büyük önem taşıyor. Sağlam bir güvenlik altyapısı ve güncel yazılım kullanmak, bu tür saldırılara karşı en iyi koruma yöntemidir.
