Le groupe de cybersécurité eSentire a découvert l'utilisation de fausses fenêtres contextuelles de type CAPTCHA pour inciter les victimes à déployer des logiciels malveillants de collecte dedent, Amatera Stealer et NETSupport RAT, en abusant d'une méthode connue sous le nom de ClickFix.
L'unité de réponse aux menaces (TRU) d'eSentire a tracune recrudescence des campagnes exploitant ClickFix pour obtenir un accès initial aux systèmes ciblés en novembre. Selon la TRU, les acteurs malveillants utilisent cette méthode pour manipuler les victimes et les amener à exécuter manuellement des commandes malveillantes via la boîte de dialogue Exécuter de Windows.
Une fois exécutées, ces commandes lancent une chaîne d'infection qui se termine par le déploiement d'Amatera Stealer et de NetSupport RAT, deux outils de surveillance à distance légitimes qui ont été détournés par des cybercriminels pour un accès à distance non autorisé.
La campagne ClickFix utilise reCAPTCHA pour introduire subrepticement des logiciels malveillants.
Selon une étude d'eSentire publiée jeudi dernier, les pirates informatiques attirent leurs victimes à l'aide de faux sites web et de fenêtres contextuelles ressemblant à des « contrôles de sécurité », notamment des boîtes de vérification reCAPTCHA frauduleuses et des pages Cloudflare Turnstile contrefaites.
Les interfaces trompeuses incitent les utilisateurs à « corriger » un problème supposé, les instructions les amenant à exécuter des commandes malveillantes sans qu'ils en perçoivent les risques. Une fois la commande initiale exécutée, Amatera Stealer est installé, suivi de NetSupport Manager, qui permet aux pirates de surveiller et de contrôler la machine compromise comme s'ils y étaient physiquement présents.
Amatera Stealer n'est pas une menace entièrement nouvelle, mais la dernière évolution d'ACR Stealer, également connu sous le nom d'AcridRain. La version précédente est apparue pour la première fois en 2024 sous forme de logiciel malveillant à la demande sur des forums de hackers, et plusieurs utilisateurs l'ont déployée via des abonnements.
La commercialisation d'ACR a été suspendue mi-2024 lorsque son développeur, connu sous le pseudonyme de SheldIO, a vendu le code source du logiciel malveillant. Malgré cette annonce, le groupe a affirmé que le développement d'ACR n'était « pas terminé ». Les chercheurs estiment désormais qu'Amatera est le successeur direct d'ACR, reconstruit avec des fonctionnalités étendues et de nouvelles techniques d'évasion.
Amatera, repérée en juin par la société d'audit de sécurité Proofpoint, est disponible par abonnement à partir de 199 $ par mois jusqu'à 1 499 $ par an.
« Amatera offre aux acteurs malveillants de vastes capacités d'exfiltration de données ciblant les portefeuilles de cryptomonnaies, les navigateurs, les applications de messagerie, les clients FTP et les services de messagerie électronique. Elle utilise des stratégies d'évasion avancées, telles que les appels système WoW64, pour contourner les mécanismes d'interception en mode utilisateur employés par les environnements sandbox, les solutions antivirus et les produits EDR », a déclaré eSentire.
Ce logiciel malveillant est écrit en C++ et est capable de récupérer les mots de passe enregistrés, les informations de carte bancaire, l'historique de navigation et les fichiers à partir de navigateurs tels que Chrome, Brave, Edge, Opera, Firefox et de plateformes spécialisées comme Tor Browser et Thunderbird.
Chargeurs Windows PowerShell multi-étapes dissimulant des logiciels malveillants
Selon l'analyse des menaces d'eSentire, le processus d'infection d'Amatera repose sur plusieurs couches de commandes PowerShell obscurcies.
Les chercheurs de TRU ont observé qu'une phase de décryptage des charges utiles suivantes utilisait un processus XOR sur la chaîne « AMSI_RESULT_NOT_DETECTED », un terme associé à l'interface d'analyse anti-malware de Microsoft. Le développeur du chargeur pourrait avoir choisi cette expression intentionnellement afin de tromper les chercheurs effectuant une analyse dynamique.
Bien qu'Amatera soit la charge utile la plus fréquemment utilisée dans ces campagnes, eSentire a également documenté des cas où le même chargeur a servi à déployer d'autres logiciels espions, tels que Lumma et Vidar. Certains échantillons ne comportaient pas les paramètres de configuration nécessaires à l'exécution de chargeurs multi-étapes ; les pirates ont alors opté pour le déploiement direct de NetSupport Manager.
eSentire et d'autres entreprises de sécurité ont documenté des campagnes de courriels distribuant des fichiers de script Visual Basic dissimulés sous forme de factures. À l'ouverture, ces fichiers exécutaient des scripts par lots qui lançaient des chargeurs PowerShell diffusant le ver XWorm.
D'autres campagnes impliquaient des sites web compromis qui redirigeaient les visiteurs vers de fausses pages de vérification Cloudflare, imitant les messages de ClickFix. Cette activité a été liée à une opération connue sous les noms de SmartApeSG, HANEYMANEY et ZPHP, qui utilisaient tous le RAT NetSupport comme charge utile finale.
Des pirates informatiques avaient créé des sites web frauduleux Booking.com hébergeant de faux contrôles CAPTCHA, incitant les utilisateurs à ouvrir la boîte de dialogue Exécuter de Windows et à exécuter une commande, et installant directement un script de vol d'dentsur les systèmes infectés.
Certaines campagnes d'hameçonnage liées à ces logiciels malveillants utilisent un nouveau kit d'hameçonnage appelé Cephas. Selon la société de cybersécurité Barracuda, Cephas emploie une méthode d'obfuscation avancée qui insère des caractères invisibles dans le code source des pages d'hameçonnage, les rendant difficiles à détecter par les scanners automatisés.
« Le kit dissimule son code en créant des caractères invisibles aléatoires dans le code source, ce qui lui permet d'échapper aux scanners anti-phishing et d'empêcher les règles YARA basées sur les signatures de correspondre aux méthodes de phishing exactes », a écrit dans son analyse de la semaine dernière.
