Кибербезопасная компания eSentire обнаружила масштабную кампанию, в ходе которой злоумышленники применяют поддельные CAPTCHA-всплывающие окна для обмана пользователей и установки вредоносного ПО, включая Amatera Stealer и NETSupport RAT. Метод, известный как ClickFix, позволяет хакерам с помощью социальной инженерии заставлять жертв вручную выполнять вредоносные команды через системный инструмент «Выполнить» в Windows.
Согласно исследованию eSentire, опубликованному на прошлой неделе, мошенники создают фиктивные веб-сайты и всплывающие окна, имитирующие «проверки безопасности», такие как поддельные reCAPTCHA и страницы Cloudflare Turnstile. Эти интерфейсы побуждают пользователей «исправить» предполагаемую проблему, что приводит к выполнению опасных команд. После запуска первоначальной команды сначала доставляется Amatera Stealer, а затем устанавливается NetSupport Manager, который предоставляет хакерам полный удаленный контроль над скомпрометированной системой.
Amatera Stealer является прямым преемником ACR Stealer (AcridRain), который изначально распространялся по модели malware-as-a-service на хакерских форумах в 2024 году. После продажи исходного кода разработчиком SheldIO в середине 2024 года, Amatera был перестроен с расширенными функциями и улучшенными методами уклонения от обнаружения. По данным Proofpoint, вредоносная программа доступна по подписке стоимостью от 199 долларов в месяц до 1499 долларов в год.
«Amatera предоставляет злоумышленникам широкие возможности для эксфильтрации данных, нацеленных на криптокошельки, браузеры, мессенджеры, FTP-клиенты и почтовые сервисы. Он использует продвинутые стратегии уклонения, такие как WoW64 SysCalls, чтобы обходить механизмы защиты, включая песочницы, антивирусы и EDR-продукты», — заявили в eSentire.
Вредоносная программа, написанная на C++, способна извлекать сохраненные пароли, данные карт, историю браузеров и файлы из таких платформ, как Chrome, Brave, Edge, Opera, Firefox, Tor Browser и Thunderbird. Процесс заражения построен на нескольких слоях обфусцированных команд PowerShell, включая этапы дешифрования с использованием XOR-процесса на строке «AMSI_RESULT_NOT_DETECTED», что, вероятно, предназначено для затруднения динамического анализа.
Кампания также связана с операциями под названиями SmartApeSG, HANEYMANEY и ZPHP, которые используют NetSupport RAT в качестве финальной полезной нагрузки. Зафиксированы случаи использования скомпрометированных веб-сайтов, например, поддельных страниц Booking.com с фальшивыми CAPTCHA-проверками, а также фишинг-рассылок с VBS-вложениями, маскирующимися под счета. Кроме того, в некоторых кампаниях применяется фишинг-кит Cephas, который использует невидимые символы в исходном коде для обхода антифишинг-сканеров, как сообщила компания Barracuda.
