محققان امنیت سایبری کمپینهای بدافزاری را کشف کردند که از تاکتیک مهندسی اجتماعی ClickFix برای توزیع Amatera Stealer و NetSupport RAT استفاده میکنند.
این کمپین که در ماه جاری مشاهده شده، توسط شرکت eSentire با نام EVALUSION ردیابی میشود. سارق اطلاعات Amatera اولین بار در ژوئن 2025 مشاهده شد و به عنوان نسخهٔ تکامل یافتهٔ ACR Stealer (مخفف AcridRain) ارزیابی میشود که تا اواسط جولای 2024 تحت عنوان MaaS عرضه و سپس فروش آن متوقف شد. این بدافزار به عوامل تهدید قابلیتهای گستردهای جهت سرقت داده ارائه میدهد و کیفپولهای رمز ارز، مرورگرها، برنامههای پیامرسان، کلاینتهای FTP و سرویسهای ایمیل را هدف قرار میدهد.
نکته قابل توجه نیز بهکارگیری تکنیکهای پیشرفتهٔ فرار مانند WoW64 SysCalls است تا از مکانیسمهای hooking در حالت کاربر عبور کند که معمولاً توسط سندباکسها، آنتیویروسها و محصولات EDR به کار میروند. این پیلود، Amatera Stealer DLL است که با استفاده از PureCrypter، رمزگذار و بارگذار چند منظوره مبتنی بر #C، پکیجبندی شده است که توسط نفوذگری به نام PureCoder به عنوان پیشنهاد MaaS نیز تبلیغ میشود. این DLL ضمن تزریق به فرآیند MSBuild.exe، اقدام به جمعآوری اطلاعات حساس، تماس با سرور خارجی برای اجرای دستور پاورشل دیگر و دریافت و راهاندازی NetSupport RAT میکند.
https://thehackernews.com/2025/11/new-evalusion-clickfix-campaign.html
