СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
20.06.2025
#Dev#ИБ#Инфра#Облака

Amatera Stealer: Новое поколение вредоносного ПО MaaS с расширенными функциями

Amatera Stealer: Новое поколение вредоносного ПО MaaS с расширенными функциями

Исследователи компании Proofpoint выявили новую версию вредоносной программы-похитителя, получившую название Amatera Stealer. Эта вредоносная разработка является ребрендинговой версией известного ACR Stealer и функционирует по модели MaaS (Malware-as-a-Service), предоставляя злоумышленникам расширенные возможности для скрытного кражи данных. В отчёте подробно прописаны технические особенности Amatera Stealer, а также методы его распространения и обхода современных средств защиты.

Технические характеристики и нововведения Amatera Stealer

По своему коду Amatera Stealer значительно перекликается с ACR Stealer, однако в последних версиях опасного ПО было решено отказаться от некоторых функций — например, тех, которые обеспечивали управление через Steam и Telegram (C2). Вместо этого инструмент использует ряд новых технических решений, обеспечивающих более эффективное и скрытое взаимодействие с сервером управления (C2).

  • Связь через NTSockets: Amatera использует нестандартные NTSockets вместо привычных сетевых API Windows, что усложняет обнаружение сетевой активности.
  • Подключение по HTTP с запросом конфигурации JSON: Вредоносное ПО сразу после запуска запрашивает у сервера C2 конфигурационный файл в формате JSON, который задаёт дальнейшие действия.
  • Обход DNS: Для маскировки Amatera Stealer избегает разрешения доменных имён, подключаясь напрямую к публичному IP-адресу Content Delivery Network (CDN), связанного с Cloudflare.
  • Использование сложных HTTP-запросов: В запросах применяется неразрешаемый домен в заголовке Host, что дополнительно затрудняет идентификацию трафика.

Методы распространения: ClearFake и ClickFix

Распространение Amatera Stealer организовано с помощью нескольких инновационных схем, сочетающих технические и социальные приёмы:

  • ClearFake: Вредоносные скрипты внедряются в легитимные сайты с использованием технологии EtherHiding в блокчейн-смарт-контрактах. Данный подход позволяет запускать вторичные скрипты, создающие поддельные капчи, чтобы обмануть пользователей и заставить их раскрывать конфиденциальные данные.
  • ClickFix: Этот метод включает социальную инженерию и команды PowerShell. Пользователю демонстрируется «окно проверки», в ходе которого запускается закодированный скрипт PowerShell. Он восстанавливает и исполняет вредоносную нагрузку, при этом отключается ведение журналов и обходятся системы безопасности, включая AMSI и ETW.

Цели и функции Amatera Stealer

Amatera Stealer ориентирован на сбор широкого спектра конфиденциальной информации:

  • Данные из веб-браузеров
  • Информация из криптовалютных кошельков
  • Сообщения из приложений для обмена мгновенными сообщениями

Для получения доступа к файлам используется продвинутый механизм внедрения шелл-кода, позволяющий вредоносному ПО оставаться незамеченным системами защиты конечных устройств. После сбора данные агрегируются и отправляются обратно на сервер C2 посредством зашифрованных HTTP POST-запросов.

Значение обнаружения и рекомендации по защите

Выход Amatera Stealer подчёркивает растущую угрозу со стороны вредоносных программ-похитителей информации. Особенно это актуально на фоне усиления конкуренции среди различных MaaS-решений, в том числе таких, как Lumma Stealer, которые сталкиваются с перебоями в работе.

«Разработка Amatera Stealer демонстрирует, насколько киберпреступники готовы использовать изощрённые тактики обхода защиты — от отказа от стандартных сетевых методов до манипуляций с пользователями через социальную инженерию», — отмечают эксперты Proofpoint.

В связи с этим организациям и пользователям рекомендуется:

  • Усилить системы кибербезопасности, включив современные средства обнаружения нестандартного трафика и выполнения скриптов.
  • Проводить регулярное обучение сотрудников по методам социальной инженерии и особенностям действий вредоносных программ.
  • Ограничить использование и исполнение несанкционированных сценариев PowerShell и иных административных команд.

Только комплексный подход позволит снизить риски успешных атак с использованием Amatera Stealer и аналогичных киберугроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: