Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Diebe EVALUSION ClickFix-Kampagne

EVALUSION ClickFix-Kampagne

Von Mezo in Diebe
Übersetzen Sie in:

Cybersicherheitsexperten haben eine anhaltende Welle von Schadsoftware aufgedeckt, die sich stark auf die weit verbreitete Social-Engineering-Methode ClickFix stützt. Diese Kampagne, die unter dem Namen EVALUSION geführt wird, nutzt diese Technik, um sowohl Amatera Stealer als auch NetSupport RAT zu verbreiten und so umfangreichen Datendiebstahl sowie Fernzugriff auf infizierte Systeme zu ermöglichen.

Von ACR zu Amatera: Die Evolution eines Diebes

Erste Anzeichen von Amatera traten im Juni 2025 auf. Forscher stuften es als direkten Nachfolger des früheren ACR (AcridRain) Stealer ein, der zuvor im Rahmen eines Malware-as-a-Service-Abonnementmodells angeboten wurde. Nachdem der Verkauf von ACR Mitte Juli 2024 eingestellt wurde, tauchte Amatera mit einer eigenen gestaffelten Preisstruktur von 199 US-Dollar pro Monat bis 1.499 US-Dollar pro Jahr auf und war somit für eine Vielzahl von Bedrohungsakteuren zugänglich.

Fähigkeiten, die für umfassenden Diebstahl entwickelt wurden

Amatera bietet umfassende Datenerfassungsfunktionen, die darauf ausgelegt sind, verschiedene Arten von Benutzerinformationen zu kompromittieren. Die Angriffe erstrecken sich auf Krypto-Wallets, Browser, Messaging-Clients, FTP-Programme und E-Mail-Programme. Um nicht entdeckt zu werden, verwendet Amatera ausgefeilte Verschleierungstaktiken, darunter WoW64-Systemaufrufe, die es ermöglichen, die gängige Benutzermodusüberwachung von Sandboxes, Antivirenprogrammen und EDR-Lösungen zu umgehen.

Zu den wichtigsten Datenzielen gehören:

  • Kryptowährungs-Wallets und Erweiterungen
  • Webbrowser
  • Beliebte Messaging-Plattformen
  • FTP-Clients
  • E-Mail-Anwendungen

ClickFix im Einsatz: Der Infektionsprozess

Wie in vielen ClickFix-Fällen zu beobachten ist, werden Opfer dazu verleitet, einen Befehl im Windows-Ausführen-Dialog auszuführen, indem sie vorgeben, eine gefälschte reCAPTCHA-Abfrage auf betrügerischen Phishing-Websites zu lösen. Dieser Befehl löst eine Kettenreaktion aus, an der mshta.exe beteiligt ist, welches wiederum ein PowerShell-Skript ausführt. Dieses Skript ruft eine auf MediaFire gehostete .NET-Binärdatei ab und bereitet so die Ausführung der Schadsoftware vor.

PureCrypter und MSBuild: Eine unauffällige Auslieferungskette

Die heruntergeladene Komponente ist eine Amatera-Stealer-DLL, die mithilfe von PureCrypter, einem vielseitigen, C#-basierten Loader, der auch als MaaS-Produkt von dem Entwickler PureCoder vertrieben wird, verschleiert wurde. Nach der Aktivierung wird die DLL in MSBuild.exe injiziert, wodurch der Stealer mit der Datenerfassung beginnen kann. Anschließend stellt er eine Verbindung zu einem externen Server her und führt einen PowerShell-Befehl aus, um NetSupport RAT herunterzuladen und zu starten.

Die Ausführungslogik durchläuft die folgenden Schritte:

  • Prüft, ob das System zu einer Domäne gehört.
  • Sucht nach potenziell wertvollen Dateien, wie z. B. Krypto-Wallet-Daten.
  • Die Bereitstellung von NetSupport RAT wird nur dann fortgesetzt, wenn eine dieser Bedingungen erfüllt ist.

Gezielte Ansprache für maximale Wirkung

Eine der ungewöhnlichsten Eigenschaften der PowerShell-Routine von Amatera ist ihre bedingte Logik. Der Stealer prüft, ob der infizierte Endpunkt Teil einer Unternehmensdomäne ist oder wertvolle Daten enthält. Trifft keines dieser Kriterien zu, wird NetSupport RAT absichtlich zurückgehalten. Dies deutet darauf hin, dass die Angreifer Ressourcen schonen und sich auf Systeme mit dem größten Nutzen konzentrieren wollen.

Dieser gezielte Ansatz, kombiniert mit der Manipulation von ClickFix und einem ausgefeilten Malware-Ökosystem, unterstreicht die zunehmende Raffinesse moderner Cyberkriminalitätsoperationen.

Im Trend

Am häufigsten gesehen

Wird geladen...