Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Amatera Stealer 4.0.2 Beta est un voleur d’informations en C++ retravaillé, commercialisé en tant que Malware-as-a-Service depuis 2018. Cette version mise à jour introduit des capacités renforcées d’anti-debugging et d’anti-analyse, inclut des vérifications de géorestriction liées aux produits Kaspersky et aux dispositions de clavier ukrainiennes, et remplace AES-256-CBC par un échange de clés ECDH combiné avec ChaCha20-Poly1305 pour le chiffrement des commandes et du contrôle. Ses modules de collecte se sont également étendus pour cibler des portefeuilles de cryptomonnaie supplémentaires et des extensions de navigateur, tout en ajoutant la prise en charge de la collecte d’artefacts Discord et Signal. La livraison repose sur un ClickFix mshta.exe chaîne qui déploie un chargeur de shellcode 32 bits, qui injecte de manière réflexive le voleur directement en mémoire.
Enquête
L’unité de réponse aux menaces eSentire a observé toute la chaîne de livraison dans un environnement du secteur financier en avril 2026. Leur analyse a identifié un chargeur de shellcode 32 bits qui a résolu sept API essentielles, a déchiffré son chargement utile en utilisant une clé XOR de 128 octets, l’a décompressé avec aPLib, et a effectué une injection PE réflexive. Le chargeur a également implémenté la méthode de résolution d’appels système RecycledGate et FreshyCalls avec l’encryptage des numéros d’appels système. Les données de configuration ont été livrées via HTTPS grâce à un échange de clés basé sur ECDH protégé par ChaCha20-Poly1305, et l’accès à la configuration nécessitait un GUID codé en dur.
Atténuation
Les défenseurs devraient bloquer mshta.exe l’exécution des fichiers récupérés depuis des URL non fiables et désactiver la boîte de dialogue Exécuter via la stratégie de groupe dans la mesure du possible. Des outils de contrôle des applications tels que AppLocker ou WDAC devraient être utilisés pour empêcher l’exécution non autorisée de PowerShell et HTA. Les équipes de sécurité devraient également surveiller les chemins connus des pilotes Kaspersky et les vérifications des dispositions de clavier ukrainiennes, car cela peut indiquer un comportement de contournement. La protection des terminaux devrait être capable de détecter les techniques d’injection réflexive et les chargeurs qui comptent sur le hachage d’API.
Réponse
Si une activité de l’Amatera Stealer est détectée, isolez immédiatement le système affecté, arrêtez le processus malveillant, et collectez des dumps mémoire pour l’analyse des clés et des charges utiles. Capturez le trafic TLS déchiffré lorsque cela est possible pour récupérer les détails de la configuration et identifier toutes les données exfiltrées. Un examen complet des identifiants et des portefeuilles de cryptomonnaie présents sur l’hôte doit être réalisé. Les organisations devraient également lancer une chasse basée sur des indicateurs à travers l’environnement en utilisant les IOC rapportés et les techniques d’attaque connexes.
graph TB classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef process fill:#99ff99 classDef technique fill:#ffeb99 classDef operator fill:#ff9900 action_user_execution[« <b>Action</b> – <b>T1218.005</b> exécution mshta<br/>L’utilisateur exécute une application HTML malveillante »] class action_user_execution action process_powershell[« <b>Processus</b> – PowerShell<br/>Commande encodée en Base64 »] class process_powershell process tool_reflective_loader[« <b>Outil</b> – chargeur réfléchi<br/>Télécharge du shellcode 32 bits »] class tool_reflective_loader tool technique_reflective_loader[« <b>Technique</b> – <b>T1620</b> chargement de code réfléchi »] class technique_reflective_loader technique technique_xor_obfusc[« <b>Technique</b> – <b>T1027.002</b> obfuscation XOR »] class technique_xor_obfusc technique technique_aplib_compress[« <b>Technique</b> – <b>T1027.007</b> compression aPLib »] class technique_aplib_compress technique technique_anti_debug[« <b>Technique</b> – <b>T1652</b> détection d’environnement d’analyse »] class technique_anti_debug technique malware_stealer[« <b>Malware</b> – voleur<br/>Collecte identifiants, seed phrases et clés privées »] class malware_stealer malware technique_credential_browser[« <b>Technique</b> – <b>T1555.003</b> identifiants de navigateurs »] class technique_credential_browser technique technique_credential_manager[« <b>Technique</b> – <b>T1555.004</b> gestionnaire d’identifiants Windows »] class technique_credential_manager technique technique_credential_manager_file[« <b>Technique</b> – <b>T1555.005</b> gestionnaires de mots de passe »] class technique_credential_manager_file technique technique_credential_chat[« <b>Technique</b> – <b>T1552.008</b> transmission chat non sécurisée »] class technique_credential_chat technique technique_credential_files[« <b>Technique</b> – <b>T1552.001</b> fichiers d’identifiants »] class technique_credential_files technique technique_search_downloads[« <b>Technique</b> – recherche de phrases seed et clés privées dans les téléchargements »] class technique_search_downloads technique technique_zip[« <b>Technique</b> – <b>T1560</b> archivage des données collectées »] class technique_zip technique technique_https_exfil[« <b>Technique</b> – <b>T1573.001</b> utilisation de HTTPS pour C2 »] class technique_https_exfil technique technique_encrypted_exfil[« <b>Technique</b> – <b>T1041</b> exfiltration de trafic chiffré »] class technique_encrypted_exfil technique action_user_execution –>|exécute| process_powershell process_powershell –>|télécharge| tool_reflective_loader tool_reflective_loader –>|implémente| technique_reflective_loader tool_reflective_loader –>|utilise| technique_xor_obfusc tool_reflective_loader –>|utilise| technique_aplib_compress tool_reflective_loader –>|contourne détection via| technique_anti_debug tool_reflective_loader –>|charge| malware_stealer malware_stealer –>|collecte| technique_credential_browser malware_stealer –>|collecte| technique_credential_manager malware_stealer –>|collecte| technique_credential_manager_file malware_stealer –>|collecte| technique_credential_chat malware_stealer –>|collecte| technique_credential_files malware_stealer –>|recherche| technique_search_downloads malware_stealer –>|archive| technique_zip technique_zip –>|exfiltration via| technique_https_exfil technique_https_exfil –>|utilise chiffrement| technique_encrypted_exfil
Flux d’Attaque
Détections
Comportement suspect de contournement de défense MSHTA LOLBAS détecté par les commandes associées (via process_creation)
Voir
Commande et contrôle suspect par requête DNS de domaine de premier niveau (TLD) inhabituel (via dns)
Voir
IOC (HashSha256) à détecter : Amatera Stealer 4.0.2 Beta : Nouveautés de cette variante
Voir
Création PowerShell de fichiers pilotes Kaspersky factices [Windows Powershell]
Voir
Connexion réseau à Amatera Stealer C2 et URL de dépôt [Connection réseau Windows]
Voir
Exécution potentiellement malveillante via mshta et PowerShell [Création de processus Windows]
Voir
Exécution de Simulation
Prérequis : Le contrôle préliminaire de télémétrie & base de référence doit avoir été réussi.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et la narration DOIVENT directement refléter les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Récit et Commandes d’Attaque :
Un attaquant ayant obtenu l’exécution PowerShell sur un hôte compromis souhaite exploiter un bug d’évasion de pilote Kaspersky. Il utilisecmdlet pour déposer quatre fichiers de pilote de diversion (cmdlet pour déposer quatre fichiers de pilote de diversion (klif.sys,kldisk.sys,klhk.sys,kneps.sys) dansC:WindowsSysWOW64drivers. En faisant cela, ils génèrent les chaînes de commande exactes que la règle Sigma correspond, provoquant ainsi une alerte tout en plantant des fichiers pouvant être exploités plus tard pour l’escalade de privilèges ou la persistance. -
Script de Test de Régression :
# Script PowerShell pour créer les quatre fichiers pilotes Kaspersky factices. $driverPath = "C:WindowsSysWOW64drivers" $files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys") foreach ($f in $files) { $fullPath = Join-Path -Path $driverPath -ChildPath $f try { New-Item -Path $fullPath -ItemType File -Force -ErrorAction Stop | Out-Null Write-Host "[+] Created $fullPath" } catch { Write-Warning "[-] Failed to create $fullPath : $_" } } -
Commandes de Nettoyage :
# Supprimer les fichiers pilotes factices créés pour restaurer l'hôte à son état d'origine. $driverPath = "C:WindowsSysWOW64drivers" $files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys") foreach ($f in $files) { $fullPath = Join-Path -Path $driverPath -ChildPath $f if (Test-Path $fullPath) { Remove-Item -Path $fullPath -Force Write-Host "[+] Removed $fullPath" } }