評価 ClickFixキャンペーン
サイバーセキュリティアナリストは、広く普及しているClickFixソーシャルエンジニアリング手法を多用する悪意のある活動が継続的に発生していることを明らかにしました。EVALUSIONとして追跡されているこのキャンペーンは、ClickFixの手法を利用してAmatera StealerとNetSupport RATの両方を拡散し、感染システムにおける広範なデータ窃取とリモートアクセスを可能にします。
目次
ACRからAmateraへ:スティーラーの進化
Amateraの最初の兆候は2025年6月に現れ、研究者はこれを、以前はMaaS(マルウェア・アズ・ア・サービス)のサブスクリプションモデルで運用されていたACR(AcridRain)Stealerの直接的な後継であると評価しました。ACRの販売が2024年7月中旬に終了した後、Amateraは月額199ドルから年額1,499ドルまでの独自の段階的価格体系で登場し、さまざまな脅威アクターが利用できるようにしました。
包括的な盗難のために構築された機能
Amateraは、複数の種類のユーザー情報を侵害するために設計された広範なデータ収集機能を備えています。その標的は、暗号ウォレット、ブラウザ、メッセージングクライアント、FTPユーティリティ、メールプログラムなど多岐にわたります。検出を回避するため、WoW64 SysCallなどの高度な回避策を採用しており、サンドボックス、アンチウイルスエンジン、EDRソリューションで一般的に使用されるユーザーモード監視を回避します。
主なデータターゲットは次のとおりです。
- 暗号通貨ウォレットと拡張機能
- ウェブブラウザ
- 人気のメッセージングプラットフォーム
- FTPクライアント
- 電子メールアプリケーション
ClickFixの仕組み:感染プロセス
ClickFixの多くのシナリオで見られるように、被害者は、詐欺的なフィッシングサイトで偽のreCAPTCHAチャレンジを完了するように見せかけ、Windowsの「ファイル名を指定して実行」ダイアログでコマンドを実行するように誘導されます。このコマンドは、PowerShellスクリプトを実行するmshta.exeを含む連鎖反応を引き起こします。このスクリプトはMediaFireでホストされている.NETバイナリを取得し、ペイロード展開の準備を整えます。
PureCrypterとMSBuild:ステルス性の高いデリバリーチェーン
ダウンロードされるコンポーネントは、PureCoderという開発者がMaaS製品としても販売しているC#ベースの汎用ローダーであるPureCrypterを使用して隠蔽されたAmatera Stealer DLLです。DLLがアクティブになると、MSBuild.exeに挿入され、スティーラーがデータ収集を開始します。その後、外部サーバーにアクセスし、PowerShellコマンドを実行してNetSupport RATをダウンロード・起動します。
実行ロジックは次の手順で実行されます。
- システムがドメインに属しているかどうかを確認します
- 暗号ウォレットデータなど、潜在的に価値のあるファイルを探します
- これらの条件のいずれかが満たされた場合にのみ、NetSupport RATの展開を続行します。
最大限の効果を得るための選択的ターゲティング
AmateraのPowerShellルーチンの特異な点の一つは、その条件付きロジックです。このスティーラーは、感染したエンドポイントが企業ドメインの一部であるか、または高価値データを含んでいるかどうかを評価します。どちらの基準も満たされない場合、NetSupport RATは意図的に実行されません。これは、攻撃者がリソースを節約し、最大の利益をもたらすシステムに集中しようとしていることを示唆しています。
この標的型アプローチは、ClickFix 操作と洗練されたマルウェア エコシステムと組み合わされ、現代のサイバー犯罪活動がますます巧妙化していることを強調しています。
