Évaluation de la campagne ClickFix
Des analystes en cybersécurité ont mis au jour une vague d'activités malveillantes s'appuyant largement sur la méthode d'ingénierie sociale ClickFix, très répandue. Cette campagne, identifiée sous le nom d'EVALUSION, utilise cette technique pour diffuser les logiciels malveillants Amatera Stealer et NetSupport RAT, permettant ainsi le vol de données à grande échelle et l'accès à distance aux systèmes infectés.
Table des matières
D’ACR à Amatera : L’évolution d’un voleur
Les premiers signes d'Amatera sont apparus en juin 2025. Les chercheurs l'ont alors considéré comme le successeur direct du logiciel malveillant ACR (AcridRain), qui fonctionnait auparavant selon un modèle d'abonnement de type « malware-as-a-service ». Après l'arrêt des ventes d'ACR à la mi-juillet 2024, Amatera a fait son apparition avec sa propre structure tarifaire à plusieurs niveaux, allant de 199 $ par mois à 1 499 $ par an, le rendant accessible à divers acteurs malveillants.
Des capacités conçues pour le vol à grande échelle
Amatera offre de vastes fonctionnalités de collecte de données conçues pour compromettre différents types d'informations utilisateur. Ses cibles incluent les portefeuilles cryptographiques, les navigateurs, les clients de messagerie, les utilitaires FTP et les programmes de messagerie électronique. Pour éviter d'être détecté, il emploie des techniques d'évasion avancées, notamment les appels système WoW64, qui lui permettent de contourner la surveillance en mode utilisateur couramment utilisée par les environnements sandbox, les moteurs antivirus et les solutions EDR.
Les principaux objectifs en matière de données sont les suivants :
- Portefeuilles et extensions de cryptomonnaies
- navigateurs Web
- Plateformes de messagerie populaires
- Clients FTP
- Applications de messagerie électronique
ClickFix au travail : Le processus d’infection
Comme dans de nombreux scénarios d'escroquerie ClickFix, les victimes sont incitées à exécuter une commande dans la boîte de dialogue Exécuter de Windows, sous prétexte de résoudre un faux test reCAPTCHA sur des sites d'hameçonnage frauduleux. Cette commande déclenche une réaction en chaîne impliquant mshta.exe, qui exécute un script PowerShell. Ce script récupère un fichier binaire .NET hébergé sur MediaFire, préparant ainsi le terrain pour le déploiement de la charge utile.
PureCrypter et MSBuild : une chaîne de distribution furtive
Le composant téléchargé est une DLL Amatera Stealer dissimulée à l'aide de PureCrypter, un chargeur polyvalent basé sur C# également vendu comme produit MaaS par le développeur PureCoder. Une fois activée, la DLL est injectée dans MSBuild.exe, permettant ainsi au voleur de données de commencer à collecter des données. Il se connecte ensuite à un serveur externe et exécute une commande PowerShell pour télécharger et lancer NetSupport RAT.
La logique d'exécution se déroule selon les étapes suivantes :
- Vérifie si le système appartient à un domaine
- Recherche des fichiers potentiellement précieux, tels que des données de portefeuilles cryptographiques
- Procéder au déploiement de NetSupport RAT uniquement si l'une de ces conditions est remplie.
Ciblage sélectif pour un impact maximal
L'un des aspects les plus inhabituels du programme PowerShell d'Amatera réside dans sa logique conditionnelle. Le logiciel malveillant évalue si le poste infecté appartient à un domaine d'entreprise ou contient des données sensibles. Si aucun de ces critères n'est rempli, NetSupport RAT est intentionnellement désactivé, ce qui laisse supposer que les opérateurs cherchent à économiser leurs ressources et à se concentrer sur les systèmes les plus rentables.
Cette approche ciblée, combinée à la manipulation de ClickFix et à un écosystème de logiciels malveillants perfectionné, souligne la sophistication croissante des opérations de cybercriminalité modernes.
