Amatera Stealer 4.0.2 Beta: O que há de novo nesta variante

SOC Prime Team

Seguir

Amatera Stealer 4.0.2 Beta: O que há de novo nesta variante

Detection stack

AIDR
Alert
ETL
Query

Relatório de Ameaça
Fluxo de Ataque
Detecções
Simulações

Resumo

Amatera Stealer 4.0.2 Beta é um ladrão de informações em C++ reformulado que tem sido comercializado como Malware-as-a-Service desde 2018. Esta versão atualizada apresenta capacidades mais fortes de anti-debugging e anti-análise, inclui verificações de geofencing ligadas a produtos da Kaspersky e layouts de teclado ucranianos, e substitui o AES-256-CBC por uma troca de chaves ECDH combinada com ChaCha20-Poly1305 para criptografar o comando e controle. Seus módulos de coleta também foram ampliados para adicionar carteiras de criptomoeda e extensões de navegador adicionais, além de suportar a coleta de artefatos do Discord e Signal. A entrega é baseada em um ClickFix mshta.exe cadeia que implanta um carregador de shellcode de 32 bits, que injeta reflexivamente o stealer diretamente na memória.

Investigação

A Unidade de Resposta a Ameaças da eSentire observou toda a cadeia de entrega em um ambiente do setor financeiro em abril de 2026. Sua análise identificou um carregador de shellcode de 32 bits que resolveu sete APIs básicas, descriptografou sua carga usando uma chave XOR de 128 bytes, descompactou com aPLib e realizou a injeção PE refletiva. O carregador também implementou o método de resolução de syscall RecycledGate e FreshyCalls junto com a criptografia dos números syscall. Os dados de configuração foram entregues por HTTPS através de uma troca de chaves baseada em ECDH protegida por ChaCha20-Poly1305, e o acesso à configuração exigia um GUID codificado.

Mitigação

Os defensores devem bloquear mshta.exe a execução de arquivos recuperados de URLs não confiáveis e desabilitar a caixa de diálogo Executar via Política de Grupo onde possível. Ferramentas de controle de aplicativos, como AppLocker ou WDAC, devem ser usadas para impedir a execução não autorizada de PowerShell e HTA. As equipes de segurança também devem monitorar caminhos de drivers conhecidos da Kaspersky e verificações para layouts de teclado ucranianos, pois isso pode indicar comportamentos de evasão. A proteção de endpoint deve ser capaz de detectar técnicas de injeção reflexiva e carregadores que dependem de hashing de API.

Resposta

Se a atividade do Amatera Stealer for detectada, isolar o sistema afetado imediatamente, parar o processo malicioso e coletar dumps de memória para análise de chave e carga útil. Capturar tráfego TLS descriptografado sempre que possível para recuperar detalhes de configuração e identificar quaisquer dados exfiltrados. Deve ser conduzida uma revisão completa das credenciais e carteiras de criptomoeda presentes no host. As organizações também devem iniciar buscas baseadas em indicadores no ambiente usando os IOCs reportados e técnicas de ataque relacionadas.

graph TB classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef process fill:#99ff99 classDef technique fill:#ffeb99 classDef operator fill:#ff9900 action_user_execution[“Ação – T1218.005 execução mshta Utilizador executa aplicação HTML maliciosa”] class action_user_execution action process_powershell[“Processo – PowerShell Comando Base64”] class process_powershell process tool_reflective_loader[“Ferramenta – loader reflexivo Descarrega shellcode 32-bit”] class tool_reflective_loader tool technique_reflective_loader[“Técnica – T1620 carregamento reflexivo de código”] class technique_reflective_loader technique technique_xor_obfusc[“Técnica – T1027.002 ofuscação XOR”] class technique_xor_obfusc technique technique_aplib_compress[“Técnica – T1027.007 compressão aPLib”] class technique_aplib_compress technique technique_anti_debug[“Técnica – T1652 deteção de ambiente de análise”] class technique_anti_debug technique malware_stealer[“Malware – stealer Recolhe credenciais, seed phrases e chaves privadas”] class malware_stealer malware technique_credential_browser[“Técnica – T1555.003 credenciais de browser”] class technique_credential_browser technique technique_credential_manager[“Técnica – T1555.004 gestor de credenciais Windows”] class technique_credential_manager technique technique_credential_manager_file[“Técnica – T1555.005 gestores de passwords”] class technique_credential_manager_file technique technique_credential_chat[“Técnica – T1552.008 transmissão insegura por chat”] class technique_credential_chat technique technique_credential_files[“Técnica – T1552.001 ficheiros de credenciais”] class technique_credential_files technique technique_search_downloads[“Técnica – pesquisa em downloads por seed phrases e chaves”] class technique_search_downloads technique technique_zip[“Técnica – T1560 arquivar dados”] class technique_zip technique technique_https_exfil[“Técnica – T1573.001 HTTPS C2”] class technique_https_exfil technique technique_encrypted_exfil[“Técnica – T1041 exfiltração cifrada”] class technique_encrypted_exfil technique action_user_execution –>|executa| process_powershell process_powershell –>|descarrega| tool_reflective_loader tool_reflective_loader –>|implementa| technique_reflective_loader tool_reflective_loader –>|usa| technique_xor_obfusc tool_reflective_loader –>|usa| technique_aplib_compress tool_reflective_loader –>|evade deteção| technique_anti_debug tool_reflective_loader –>|carrega| malware_stealer malware_stealer –>|recolhe| technique_credential_browser malware_stealer –>|recolhe| technique_credential_manager malware_stealer –>|recolhe| technique_credential_manager_file malware_stealer –>|recolhe| technique_credential_chat malware_stealer –>|recolhe| technique_credential_files malware_stealer –>|procura| technique_search_downloads malware_stealer –>|arquiva| technique_zip technique_zip –>|exfiltra via| technique_https_exfil technique_https_exfil –>|usa encriptação| technique_encrypted_exfil

Fluxo de Ataque

Narrativa e Comandos do Ataque:
Um atacante que obteve execução do PowerShell em um host comprometido deseja explorar uma falha de evasão de driver da Kaspersky. Eles usam o cmdlet para criar quatro arquivos de driver falsos ( ,klif.sys, kldisk.sys, klhk.sys, kneps.sys) em C:WindowsSysWOW64drivers. Ao fazer isso, eles geram exatamente as strings de linha de comando que a regra Sigma corresponde, provocando um alerta enquanto também plantam arquivos que podem ser aproveitados para elevação de privilégio ou persistência mais tarde.

Script de Teste de Regressão:

# Script PowerShell para criar os quatro arquivos de driver falsos da Kaspersky.
$driverPath = "C:WindowsSysWOW64drivers"
$files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys")

foreach ($f in $files) {
    $fullPath = Join-Path -Path $driverPath -ChildPath $f
    try {
        New-Item -Path $fullPath -ItemType File -Force -ErrorAction Stop |
            Out-Null
        Write-Host "[+] Criado $fullPath"
    } catch {
        Write-Warning "[-] Falha ao criar $fullPath : $_"
    }
}

Comandos de Limpeza:

# Remova os arquivos de driver falsos criados para restaurar o host ao seu estado original.
$driverPath = "C:WindowsSysWOW64drivers"
$files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys")

foreach ($f in $files) {
    $fullPath = Join-Path -Path $driverPath -ChildPath $f
    if (Test-Path $fullPath) {
        Remove-Item -Path $fullPath -Force
        Write-Host "[+] Removido $fullPath"
    }
}

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente