Neue EVALUSION‑ClickFix‑Kampagne

Am Von In Up2Date

This content is protected against AI scraping.

Amatera‑Stealer und NetSupport‑RAT werden verbreitet

Cyber‑Security‑Forscher von eSentire haben eine EVALUSION genannte Malware‑Kampagne entdeckt, die das mittlerweile weit verbreitete ClickFix‑Social‑Engineering‑Muster nutzt, um den Amatera Stealer und das NetSupport RAT zu installieren.

Amatera Stealer – ein neuer Datenklauer

Der Amatera Stealer wurde erstmals im Juni 2025 beobachtet und gilt als Weiterentwicklung des ACR‑Stealers („AcridRain“), der bis Mitte Juli 2024 als Malware‑as‑a‑Service (MaaS) angeboten wurde. Heute ist Amatera über Abonnements von 199 USD pro Monat bis 1 499 USD pro Jahr erhältlich.

„Amatera ermöglicht Angreifern umfangreiche Datenexfiltration – Krypto‑Wallets, Browser‑Daten, Messaging‑Apps, FTP‑Clients und E‑Mail‑Konten.“ – eSentire

Zur Umgehung von Sandboxes, Antiviren‑Programmen und EDR‑Lösungen setzt Amatera fortschrittliche Techniken wie WoW64 SysCalls [Systemaufrufe, die 32‑Bit‑Programme unter 64‑Bit‑Windows nutzen] ein.

Wie ClickFix funktioniert

Wie bei typischen ClickFix‑Angriffen werden Nutzer dazu verleitet, im Windows‑Ausführungsdialog (Run‑Box) einen Befehl einzugeben, der angeblich eine reCAPTCHA‑Prüfung auf einer gefälschten Phishing‑Seite abschließt. Der Befehl löst mehrere Schritte aus:

  1. mshta.exe startet ein PowerShell‑Skript.
  2. Das Skript lädt eine .NET‑Datei von MediaFire herunter.
  3. Die geladene Datei ist ein Amatera‑Stealer‑DLL, das mit PureCrypter verschlüsselt wurde – einem C#‑basierten Crypter‑ und Loader‑Tool, das selbst als MaaS von einem Akteur namens PureCoder angeboten wird.
  4. Das DLL wird in den Prozess MSBuild.exe injiziert, sammelt sensible Daten und kontaktiert einen externen Server.
  5. Dort wird über PowerShell das NetSupport RAT nachgeladen.

Ein auffälliger Teil des PowerShell‑Codes prüft, ob das Zielgerät Teil einer Domäne ist oder wertvolle Dateien (z. B. Krypto‑Wallets) enthält. Fehlt beides, wird das RAT nicht heruntergeladen.

Begleitende Phishing‑Kampagnen

Die ClickFix‑Aktion ist Teil eines breiteren Netzwerks von Phishing‑Kampagnen, die verschiedene Malware‑Familien verbreiten:

  • XWorm – VB‑Script‑Anhänge, getarnt als Rechnungen, starten ein Batch‑Skript, das einen PowerShell‑Loader ausführt.
  • SmartApeSG (auch HANEYMANEY / ZPHP) – Infizierte Websites mit schädlichem JavaScript leiten Besucher zu gefälschten ClickFix‑Seiten (nachgeahmte Cloudflare‑Turnstile‑Checks) und liefern das NetSupport RAT.
  • Gefälschte Booking.com‑Seiten zeigen falsche CAPTCHA‑Prüfungen, die ClickFix‑Links enthalten und über den Run‑Dialog einen Credential‑Stealer absetzen.
  • Spoof‑E‑Mails, die interne „E‑Mail‑Delivery“-Benachrichtigungen vortäuschen und Empfänger zu Links locken, die Anmeldedaten stehlen.
  • Phishing‑Kits Cephas (seit Aug 2024) und Tycoon 2FA, die Nutzer zu bösartigen Login‑Seiten führen.

„Cephas ist bemerkenswert, weil es zufällige unsichtbare Zeichen im Quellcode erzeugt, wodurch Anti‑Phishing‑Scanner und YARA‑Signaturen kaum noch Treffer erzielen.“ – Analyse von Barracuda (letzte Woche)

Was Sie tun können:

  • Run‑Dialog nie für unbekannte Befehle verwenden.
  • Verdächtige CAPTCHAs ignorieren – echte reCAPTCHA‑ oder Cloudflare‑Prüfungen erscheinen nur auf vertrauenswürdigen Seiten.
  • Keine .vbs‑ oder .bat‑Dateien öffnen
  • Sicherheitssoftware aktuell halten – moderne AV‑ und EDR‑Lösungen erkennen viele der hier beschriebenen Techniken bereits.
  • Zwei‑Faktor‑Authentifizierung aktivieren, um gestohlene Anmeldedaten weniger nutzbar zu machen.

Die Kombination aus sozialer Manipulation (ClickFix) und hochentwickelter Malware wie Amatera zeigt, dass Angreifer immer raffiniertere, mehrstufige Angriffe einsetzen. Ein gesundes Misstrauen gegenüber ungefragten Eingaben bleibt das wirksamste Gegenmittel.

[https://www.esentire.com/blog/evalusion-campaign-delivers-amatera-stealer-and-netsupport-rat]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

zehn − 6 =