Een nieuwe kwaadaardige campagne combineert de ClickFix-methode met een nep CAPTCHA en een ondertekend Microsoft Application Virtualization (App-V) script om uiteindelijk de Amatera-infostealing malware te verspreiden.

Het Microsoft App-V-script functioneert als een trusted Microsoft-component die kwaadaardige activiteiten camoufleert door PowerShell uit te voeren.

Microsoft Application Virtualization is een functie waarmee applicaties in geïsoleerde virtuele omgevingen kunnen draaien zonder installatie op het systeem.

Hoewel App-V-scripts eerder zijn gebruikt om beveiligingsoplossingen te omzeilen, is dit de eerste keer dat ze in ClickFix-aanvallen worden ingezet voor het verspreiden van een informatie-steler.

Volgens BlackPoint Cyber start de aanval met een nep CAPTCHA die het slachtoffer instrueert een opdracht handmatig te plakken en uit te voeren via de Windows Run-dialoog.

De geplakte opdracht misbruikt het legitieme SyncAppvPublishingServer.vbs App-V-script, dat normaal gebruikt wordt om virtuele bedrijfsapplicaties te beheren.

Dit script wordt uitgevoerd met de betrouwbare wscript.exe en start PowerShell.

In de beginfase wordt gecontroleerd of de gebruiker de opdracht handmatig uitvoerde, of de volgorde correct is en of het klembord ongewijzigd blijft. Dit voorkomt dat de malware loader draait op sandbox-omgevingen.

Onderzoekers van BlackPoint Cyber melden dat, als een analyseomgeving wordt ontdekt, de uitvoering stilletjes vertraagt om geautomatiseerde analysebronnen te verspillen.

Als aan de voorwaarden is voldaan, haalt de malware configuratiegegevens op uit een publiek Google Calendar-bestand met base64-gecodeerde waarden.

In de latere stadia wordt een 32-bit verborgen PowerShell-proces gestart via het Windows Management Instrumentation (WMI) framework. Meerdere ingesloten payloads worden gedecrypt en in het geheugen geladen.

De infectieketen verschuift vervolgens naar het verbergen van payloads met steganografie, waarbij een versleutelde PowerShell payload wordt opgenomen in PNG-afbeeldingen die op publieke CDN’s zijn gehost en dynamisch worden opgehaald.

De payload-data wordt met LSB-steganografie geëxtraheerd, gedecrypt, GZip-gedecodeerd en volledig in het geheugen uitgevoerd. De laatste PowerShell-fase decodeert en start native shellcode, die de Amatera infostealer activeert.

Zodra het actief is, maakt de malware verbinding met een hardcoded IP-adres om eindpuntmappings op te halen en wacht het op aanvullende binaire payloads via HTTP POST-verzoeken.

BlackPoint Cyber classificeert de Amatera-malware als een standaard infostealer die browserdata en wachtwoorden van geïnfecteerde systemen kan verzamelen, maar gaat niet diep in op de mogelijkheden ervan.

Gebaseerd op code-overlap is Amatera gebaseerd op de ACR infostealer en is actief in ontwikkeling en beschikbaar als malware-as-a-service (MaaS). Volgens Proofpoint onderzoekers is Amatera de afgelopen updates geavanceerder geworden.

Eerder werd Amatera ook verspreid via de ClickFix-methode, waarbij gebruikers werden misleid om direct een PowerShell-opdracht uit te voeren.

Om deze aanvallen te voorkomen, adviseren de onderzoekers beperkt toegang tot de Windows Run-dialoog via Group Policy, het verwijderen van App-V-componenten als ze niet nodig zijn, PowerShell-logging in te schakelen en uitgaande verbindingen te monitoren op inconsistenties.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.