Proofpoint最新報(bào)告顯示，此前已知的ACR竊密木馬（ACR Stealer）已更名為Amatera竊密木馬重新出現(xiàn)，其規(guī)避檢測(cè)能力得到增強(qiáng)，命令與控制（C2）機(jī)制也經(jīng)過(guò)重構(gòu)，目前仍在惡意軟件即服務(wù)（MaaS，Malware-as-a-Service）生態(tài)中持續(xù)開(kāi)發(fā)。

Proofpoint研究人員指出："雖然Amatera竊密木馬保留了前代的核心功能，但其開(kāi)發(fā)改進(jìn)程度已足以使其成為一個(gè)獨(dú)特且值得關(guān)注的威脅。"

技術(shù)架構(gòu)現(xiàn)代化升級(jí)

Amatera竊密木馬與ACR竊密木馬存在顯著同源性，包括重疊的代碼和功能。但新版惡意軟件已實(shí)現(xiàn)全面現(xiàn)代化：

• 采用C++編寫并保持活躍維護(hù)
• 提供月付99美元至年付499美元的訂閱方案
• 通過(guò)公開(kāi)訪問(wèn)的C2控制面板運(yùn)營(yíng)
• 通過(guò)Telegram提供客戶支持

Proofpoint指出："這并非該惡意軟件家族首次進(jìn)行品牌重塑"，研究人員認(rèn)為其很可能與GrMsk竊密木馬存在關(guān)聯(lián)。

新型傳播技術(shù)剖析

Amatera通過(guò)ClearFake攻擊集群實(shí)施精密的網(wǎng)頁(yè)注入攻擊，具體手法包括：

• EtherHiding：將JavaScript托管在幣安智能鏈合約上
• ClickFix：利用剪貼板訪問(wèn)和PowerShell執(zhí)行的社會(huì)工程學(xué)手段

Proofpoint解釋稱："用戶會(huì)看到虛假驗(yàn)證碼...隨后被誘導(dǎo)按下Windows+R組合鍵，接著執(zhí)行Ctrl+V粘貼并回車，從而運(yùn)行惡意PowerShell命令。"該命令會(huì)下載C#項(xiàng)目文件(.csproj)，觸發(fā)包含混淆PowerShell、繞過(guò)AMSI和ETW防護(hù)的多階段載荷，最終將shellcode注入掛起的Windows進(jìn)程。

Amatera竊密木馬C2控制面板 | 圖片來(lái)源：Proofpoint

核心技術(shù)規(guī)避手段

該木馬采用NTSockets直接與Windows AFD驅(qū)動(dòng)交互，繞過(guò)Winsock API并規(guī)避多數(shù)終端檢測(cè)工具。報(bào)告指出："直接與AFD設(shè)備交互...有效避開(kāi)了幾乎所有常用Windows網(wǎng)絡(luò)API。"

Amatera不通過(guò)DNS解析域名，而是使用硬編碼的Cloudflare CDN IP連接C2服務(wù)器，將惡意流量偽裝成合法服務(wù)。此外，它采用WoW64系統(tǒng)調(diào)用執(zhí)行API，規(guī)避沙箱和終端檢測(cè)與響應(yīng)（EDR）工具常用的用戶態(tài)鉤子技術(shù)。其系統(tǒng)調(diào)用存根會(huì)動(dòng)態(tài)解析Windows API函數(shù)，獲取系統(tǒng)服務(wù)編號(hào)（SSN），并通過(guò)WoW64Transition直接發(fā)起系統(tǒng)調(diào)用。Proofpoint認(rèn)為："這種API調(diào)用方式很可能是為了規(guī)避用戶態(tài)鉤子技術(shù)。"

模塊化數(shù)據(jù)竊取能力

Amatera的核心目標(biāo)仍是竊取數(shù)據(jù)，但采用更精準(zhǔn)的模塊化方式：

• 使用NtCreateFile和NtQueryDirectoryFile實(shí)施定向文件竊取
• 竊取瀏覽器數(shù)據(jù)（Cookie、歷史記錄）、密碼管理器和加密貨幣錢包
• 注入shellcode繞過(guò)Chrome的應(yīng)用綁定加密保護(hù)
• 收集即時(shí)通訊軟件、郵件客戶端、SSH/FTP工具及瀏覽器擴(kuò)展數(shù)據(jù)

該惡意軟件還支持通過(guò)ShellExecuteA或PowerShell的Invoke-Expression執(zhí)行次級(jí)載荷，具體取決于載荷格式。

持續(xù)演變的威脅

Proofpoint強(qiáng)調(diào)Amatera正處于活躍開(kāi)發(fā)階段，新樣本顯示其已支持基于HTTPS的C2通道，混淆技術(shù)和載荷投遞隱蔽性也有所提升。報(bào)告總結(jié)稱："威脅行為者正通過(guò)巧妙的攻擊鏈?zhǔn)褂肁matera竊密木馬，同時(shí)開(kāi)發(fā)者持續(xù)改進(jìn)其規(guī)避檢測(cè)的能力。"