แคมเปญ Amatera Stealer ใช้ ClickFix เจาะระบบ
นักวิจัยจาก eSentire Threat Response Unit (TRU) เปิดเผยการโจมตีใหม่ที่ใช้เทคนิค ClickFix เพื่อหลอกเหยื่อให้รันคำสั่งอันตรายใน Windows Run Prompt โดยมัลแวร์ที่ถูกปล่อยคือ Amatera Stealer ซึ่งเป็นเวอร์ชันรีแบรนด์ของ AcridRain (ACR) Stealer ที่ถูกขายซอร์สโค้ดในปี 2024 และถูกนำไปปรับใช้โดยหลายกลุ่มแฮกเกอร์
วิธีการโจมตีและการเลี่ยงตรวจจับ
เมื่อเหยื่อรันคำสั่งที่ได้รับจากการหลอกลวง มัลแวร์จะเริ่มโหลด PowerShell payloads หลายขั้นตอน โดยมีการเข้ารหัสและซ่อนตัวอย่างซับซ้อน หนึ่งในขั้นตอนสำคัญคือการ patch AMSI (Anti-Malware Scan Interface) ในหน่วยความจำ โดยการเขียนทับค่า “AmsiScanBuffer” ด้วย null bytes ทำให้ Windows ไม่สามารถตรวจสอบสคริปต์อันตรายที่รันต่อไปได้
ความสามารถของ Amatera Stealer
Amatera Stealer มีฟีเจอร์หลากหลาย เช่น
ขโมยข้อมูลจาก crypto-wallets, browsers, password managers, FTP/email/VPN clients
เจาะเข้าถึง productivity apps เช่น Sticky Notes, To-Do lists
ใช้เทคนิค WoW64 SysCalls เพื่อหลบเลี่ยง sandbox และ EDR
สามารถ bypass “App-Bound Encryption” ใน Chrome และ Edge เพื่อดึง credential ที่ควรจะถูกเข้ารหัส
ผลกระทบและความเสี่ยง
มัลแวร์นี้ไม่เพียงแต่ขโมยข้อมูล แต่ยังสามารถ โหลดมัลแวร์เพิ่มเติม เช่น NetSupport RAT ผ่านฟีเจอร์ “load” โดยใช้ PowerShell หรือไฟล์ JPG ที่ซ่อน payload ไว้ ทำให้การโจมตีมีความซับซ้อนและต่อเนื่องมากขึ้น เหตุการณ์นี้สะท้อนถึงความเสี่ยงจากการโจมตีที่ใช้ social engineering + memory patching ซึ่งยากต่อการตรวจจับและป้องกัน
สรุปสาระสำคัญ
การโจมตี
ใช้ ClickFix หลอกเหยื่อรันคำสั่งใน Windows Run Prompt
โหลด PowerShell payloads หลายขั้นตอน
เทคนิคการเลี่ยงตรวจจับ
Patch AMSI ใน memory เพื่อปิดการตรวจสอบสคริปต์
ใช้ WoW64 SysCalls และ bypass encryption ใน Chrome/Edge
ความสามารถของ Amatera Stealer
ขโมยข้อมูลจาก crypto-wallets, browsers, password managers
เข้าถึง productivity apps และ credential สำคัญ
โหลดมัลแวร์เพิ่มเติม เช่น NetSupport RAT
คำเตือน
Social engineering เป็นช่องทางหลักในการแพร่กระจาย
การ patch memory ทำให้การตรวจจับยากมากขึ้น
องค์กรควรเสริมการตรวจสอบ PowerShell และระบบ AMSI
https://securityonline.info/amatera-stealer-campaign-uses-clickfix-to-deploy-malware-bypassing-edr-by-patching-amsi-in-memory/
นักวิจัยจาก eSentire Threat Response Unit (TRU) เปิดเผยการโจมตีใหม่ที่ใช้เทคนิค ClickFix เพื่อหลอกเหยื่อให้รันคำสั่งอันตรายใน Windows Run Prompt โดยมัลแวร์ที่ถูกปล่อยคือ Amatera Stealer ซึ่งเป็นเวอร์ชันรีแบรนด์ของ AcridRain (ACR) Stealer ที่ถูกขายซอร์สโค้ดในปี 2024 และถูกนำไปปรับใช้โดยหลายกลุ่มแฮกเกอร์
วิธีการโจมตีและการเลี่ยงตรวจจับ
เมื่อเหยื่อรันคำสั่งที่ได้รับจากการหลอกลวง มัลแวร์จะเริ่มโหลด PowerShell payloads หลายขั้นตอน โดยมีการเข้ารหัสและซ่อนตัวอย่างซับซ้อน หนึ่งในขั้นตอนสำคัญคือการ patch AMSI (Anti-Malware Scan Interface) ในหน่วยความจำ โดยการเขียนทับค่า “AmsiScanBuffer” ด้วย null bytes ทำให้ Windows ไม่สามารถตรวจสอบสคริปต์อันตรายที่รันต่อไปได้
ความสามารถของ Amatera Stealer
Amatera Stealer มีฟีเจอร์หลากหลาย เช่น
ขโมยข้อมูลจาก crypto-wallets, browsers, password managers, FTP/email/VPN clients
เจาะเข้าถึง productivity apps เช่น Sticky Notes, To-Do lists
ใช้เทคนิค WoW64 SysCalls เพื่อหลบเลี่ยง sandbox และ EDR
สามารถ bypass “App-Bound Encryption” ใน Chrome และ Edge เพื่อดึง credential ที่ควรจะถูกเข้ารหัส
ผลกระทบและความเสี่ยง
มัลแวร์นี้ไม่เพียงแต่ขโมยข้อมูล แต่ยังสามารถ โหลดมัลแวร์เพิ่มเติม เช่น NetSupport RAT ผ่านฟีเจอร์ “load” โดยใช้ PowerShell หรือไฟล์ JPG ที่ซ่อน payload ไว้ ทำให้การโจมตีมีความซับซ้อนและต่อเนื่องมากขึ้น เหตุการณ์นี้สะท้อนถึงความเสี่ยงจากการโจมตีที่ใช้ social engineering + memory patching ซึ่งยากต่อการตรวจจับและป้องกัน
สรุปสาระสำคัญ
การโจมตี
ใช้ ClickFix หลอกเหยื่อรันคำสั่งใน Windows Run Prompt
โหลด PowerShell payloads หลายขั้นตอน
เทคนิคการเลี่ยงตรวจจับ
Patch AMSI ใน memory เพื่อปิดการตรวจสอบสคริปต์
ใช้ WoW64 SysCalls และ bypass encryption ใน Chrome/Edge
ความสามารถของ Amatera Stealer
ขโมยข้อมูลจาก crypto-wallets, browsers, password managers
เข้าถึง productivity apps และ credential สำคัญ
โหลดมัลแวร์เพิ่มเติม เช่น NetSupport RAT
คำเตือน
Social engineering เป็นช่องทางหลักในการแพร่กระจาย
การ patch memory ทำให้การตรวจจับยากมากขึ้น
องค์กรควรเสริมการตรวจสอบ PowerShell และระบบ AMSI
https://securityonline.info/amatera-stealer-campaign-uses-clickfix-to-deploy-malware-bypassing-edr-by-patching-amsi-in-memory/
🕵️♂️ แคมเปญ Amatera Stealer ใช้ ClickFix เจาะระบบ
นักวิจัยจาก eSentire Threat Response Unit (TRU) เปิดเผยการโจมตีใหม่ที่ใช้เทคนิค ClickFix เพื่อหลอกเหยื่อให้รันคำสั่งอันตรายใน Windows Run Prompt โดยมัลแวร์ที่ถูกปล่อยคือ Amatera Stealer ซึ่งเป็นเวอร์ชันรีแบรนด์ของ AcridRain (ACR) Stealer ที่ถูกขายซอร์สโค้ดในปี 2024 และถูกนำไปปรับใช้โดยหลายกลุ่มแฮกเกอร์
⚙️ วิธีการโจมตีและการเลี่ยงตรวจจับ
เมื่อเหยื่อรันคำสั่งที่ได้รับจากการหลอกลวง มัลแวร์จะเริ่มโหลด PowerShell payloads หลายขั้นตอน โดยมีการเข้ารหัสและซ่อนตัวอย่างซับซ้อน หนึ่งในขั้นตอนสำคัญคือการ patch AMSI (Anti-Malware Scan Interface) ในหน่วยความจำ โดยการเขียนทับค่า “AmsiScanBuffer” ด้วย null bytes ทำให้ Windows ไม่สามารถตรวจสอบสคริปต์อันตรายที่รันต่อไปได้
💻 ความสามารถของ Amatera Stealer
Amatera Stealer มีฟีเจอร์หลากหลาย เช่น
🔰 ขโมยข้อมูลจาก crypto-wallets, browsers, password managers, FTP/email/VPN clients
🔰 เจาะเข้าถึง productivity apps เช่น Sticky Notes, To-Do lists
🔰 ใช้เทคนิค WoW64 SysCalls เพื่อหลบเลี่ยง sandbox และ EDR
🔰 สามารถ bypass “App-Bound Encryption” ใน Chrome และ Edge เพื่อดึง credential ที่ควรจะถูกเข้ารหัส
⚠️ ผลกระทบและความเสี่ยง
มัลแวร์นี้ไม่เพียงแต่ขโมยข้อมูล แต่ยังสามารถ โหลดมัลแวร์เพิ่มเติม เช่น NetSupport RAT ผ่านฟีเจอร์ “load” โดยใช้ PowerShell หรือไฟล์ JPG ที่ซ่อน payload ไว้ ทำให้การโจมตีมีความซับซ้อนและต่อเนื่องมากขึ้น เหตุการณ์นี้สะท้อนถึงความเสี่ยงจากการโจมตีที่ใช้ social engineering + memory patching ซึ่งยากต่อการตรวจจับและป้องกัน
📌 สรุปสาระสำคัญ
✅ การโจมตี
➡️ ใช้ ClickFix หลอกเหยื่อรันคำสั่งใน Windows Run Prompt
➡️ โหลด PowerShell payloads หลายขั้นตอน
✅ เทคนิคการเลี่ยงตรวจจับ
➡️ Patch AMSI ใน memory เพื่อปิดการตรวจสอบสคริปต์
➡️ ใช้ WoW64 SysCalls และ bypass encryption ใน Chrome/Edge
✅ ความสามารถของ Amatera Stealer
➡️ ขโมยข้อมูลจาก crypto-wallets, browsers, password managers
➡️ เข้าถึง productivity apps และ credential สำคัญ
➡️ โหลดมัลแวร์เพิ่มเติม เช่น NetSupport RAT
‼️ คำเตือน
⛔ Social engineering เป็นช่องทางหลักในการแพร่กระจาย
⛔ การ patch memory ทำให้การตรวจจับยากมากขึ้น
⛔ องค์กรควรเสริมการตรวจสอบ PowerShell และระบบ AMSI
https://securityonline.info/amatera-stealer-campaign-uses-clickfix-to-deploy-malware-bypassing-edr-by-patching-amsi-in-memory/
0 Comments
0 Shares
24 Views
0 Reviews
Thai