最优质的加密货币资讯直接发送到您的邮箱。.
- 黑客正在部署虚假的 reCAPTCHA 弹出窗口来安装 Amatera Stealer 恶意软件,目标是加密钱包和浏览器数据。
- eSentire 报告称,ClickFix 支持的攻击日益增多,这些攻击通过欺骗性的安全提示传播 Amatera 和 NetSupport RAT。
- 包括 Cephas 在内的新型网络钓鱼工具包和混淆策略,正在扩大恶意软件活动的影响范围,使其能够攻击被入侵的网站和虚假验证页面。
网络安全组织 eSentire 发现有人利用虚假的 CAPTCHA 式弹出窗口,通过滥用一种名为 ClickFix 的方法,诱骗受害者部署凭据窃取dent软件 Amatera Stealer 和 NETSupport RAT。
eSentire 的威胁响应部门 (TRU) trac到,11 月份利用 ClickFix 漏洞获取目标系统初始访问权限的攻击活动有所升级。据 TRU 称,攻击者利用此方法对受害者进行社会工程攻击,诱使其通过 Windows 运行提示符手动运行恶意命令。
一旦执行,这些命令就会启动感染链,最终部署 Amatera Stealer 和 NetSupport RAT,这两个都是合法的远程监控工具,但已被网络犯罪分子重新用于未经授权的远程访问。
ClickFix 活动利用 reCAPTCHA 偷偷植入恶意软件。
根据 eSentire 发布的 ,黑客正在利用虚假网站和看起来像“安全检查”的弹出窗口来引诱受害者,其中包括欺诈性的 reCAPTCHA 验证框和伪造的 Cloudflare Turnstile 页面。
这些欺骗性的界面会诱导用户“修复”一个所谓的“问题”,而这些指示会让他们执行有害命令,却不让他们意识到其中的风险。一旦初始命令运行,首先会安装 Amatera Stealer,随后安装 NetSupport Manager,后者允许黑客监控和控制受感染的计算机,就像他们身临其境一样。
Amatera Stealer并非全新的威胁,而是ACR Stealer(又名AcridRain)的最新演变版本。早期版本于2024年首次以恶意软件即服务(MaaS)的形式出现在黑客论坛上,一些用户通过订阅套餐部署了该恶意软件。
ACR的销售在2024年中期暂停,当时其开发者(网名为SheldIO)出售了该恶意软件的源代码。尽管发布了出售公告,该组织仍表示这并非其开发的“终点”。研究人员现在认为Amatera是ACR的直接继任者,经过重新构建,拥有更强大的功能和新的规避技术。
Amatera 于 6 月份被安全审计公司 Proofpoint 发现,它以订阅方式提供,每月价格为 199 美元,每年价格为 1499 美元。
eSentire表示:“Amatera为威胁行为者提供了广泛的数据窃取能力,目标包括加密钱包、浏览器、即时通讯应用、FTP客户端和电子邮件服务。它采用WoW64 SysCalls等高级规避策略,绕过沙箱、防病毒解决方案和EDR产品使用的用户模式钩子机制。”
该恶意软件使用 C++ 编写,能够 从 Chrome、Brave、Edge、Opera、Firefox 等浏览器以及 Tor Browser 和 Thunderbird 等专用平台 窃取已保存的密码、银行卡详细信息、浏览历史记录和文件。
多阶段 Windows PowerShell 加载器隐藏恶意软件
根据 eSentire 的威胁分析,Amatera 的感染过程建立在多层混淆的 PowerShell 命令之上。
TRU 的研究人员发现,该程序在解密后续有效载荷时,会使用对字符串“AMSI_RESULT_NOT_DETECTED”(与微软反恶意软件扫描接口相关的术语)进行异或运算。加载器的开发者可能故意选择这个短语,以迷惑进行动态分析的研究人员。
虽然 Amatera 是这些攻击活动中最常见的有效载荷,但 eSentire 也记录了一些案例,其中同一个加载器被用于部署其他信息窃取程序,包括 Lumma 和 Vidar。一些样本缺少运行多阶段加载器所需的配置参数,因此黑客选择直接部署 NetSupport Manager。
eSentire和其他安全公司已记录到一些电子邮件攻击活动,这些活动散布伪装成发票的Visual Basic脚本文件。打开这些文件后,会执行批处理脚本,进而启动PowerShell加载器,最终传播XWorm病毒。
其他攻击活动涉及被入侵的网站,这些网站会将访问者重定向到伪造的 Cloudflare 验证页面,这些页面模仿 ClickFix 的提示。此类活动与一个名为 SmartApeSG、HANEYMANEY 和 ZPHP 的组织有关,这些组织最终都携带 NetSupport RAT 作为有效载荷。
黑客构建了欺诈性的 Booking.com 网站,这些网站托管伪造的 CAPTCHA 检查,指示用户打开 Windows 运行对话框并执行命令,并将窃取dent脚本直接安装到受感染的系统中。
一些 网络钓鱼活动 正在使用一种名为 Cephas 的新型钓鱼工具包。据网络安全解决方案公司 Barracuda 称,Cephas 使用了一种先进的混淆方法,将不可见的字符插入钓鱼网页的源代码中,使自动扫描程序难以检测到。
“该工具包通过在源代码中创建随机的不可见字符来混淆其代码,从而帮助其逃避反钓鱼扫描器,并阻止基于签名的 YARA 规则与确切的钓鱼方法匹配,”Barracuda 在上周的分析中写道。
如果你正在阅读这篇文章,你已经领先一步了。 订阅我们的新闻简报,继续保持领先优势。
免责声明:本页面提供的信息并非交易建议。Cryptopolitan.com对任何基于本页面信息进行的投资概不负责。我们tron您在做出任何投资决定前进行独立dent /或咨询合格的专业人士。Cryptopolitan研究
弗洛伦斯·穆查伊
弗洛伦斯在过去六年里一直从事加密货币、游戏、科技和人工智能领域的新闻报道。她在梅鲁科技大学(MMUST)的计算机科学专业以及灾害管理与国际外交专业的学习,使她具备了扎实的语言、观察和技术技能。弗洛伦斯曾在VAP集团工作,并担任过多家加密货币媒体的编辑。.
学速成课程
- 哪些加密货币可以让你赚钱
- 如何通过钱包提升安全性(以及哪些钱包真正值得使用)
- 专业人士使用的鲜为人知的投资策略
- 如何开始投资加密货币(使用哪些交易所、购买哪种加密货币最划算等)