Amatera Stealer 4.0.2 Beta: Was ist neu in dieser Variante

SOC Prime Team

Folgen

Amatera Stealer 4.0.2 Beta: Was ist neu in dieser Variante

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Amatera Stealer 4.0.2 Beta ist ein überarbeiteter C++-Informationsdiebstahl, der seit 2018 als Malware-as-a-Service vermarktet wird. Diese aktualisierte Version führt stärkere Anti-Debugging- und Anti-Analyse-Fähigkeiten ein, beinhaltet Geofencing-Prüfungen, die mit Kaspersky-Produkten und ukrainischen Tastaturlayouts verbunden sind, und ersetzt AES-256-CBC durch einen ECDH-Schlüsselaustausch kombiniert mit ChaCha20-Poly1305 für die Verschlüsselung von Command-and-Control. Die Sammelmodule wurden auch erweitert, um zusätzliche Kryptowährungs-Wallets und Browser-Erweiterungen zu zielen, während die Unterstützung für das Ernten von Discord- und Signal-Artefakten hinzugefügt wurde. Die Lieferung basiert auf einem ClickFix mshta.exe Kette, die einen 32-Bit-Shellcode-Loader bereitstellt, der den Stealer reflektiv direkt in den Speicher injiziert.

Untersuchung

Die eSentire Threat Response Unit beobachtete die vollständige Lieferungskette in einer Finanzumgebung im April 2026. Ihre Analyse identifizierte einen 32-Bit-Shellcode-Loader, der sieben Kern-APIs auflöste, seine Nutzlast mit einem 128-Byte-XOR-Schlüssel entschlüsselte, sie mit aPLib dekomprimierte und reflektive PE-Injektion durchführte. Der Loader implementierte auch die RecycledGate- und FreshyCalls-Systemaufrufauflösungsmethode zusammen mit der Verschlüsselung der Systemaufrufnummern. Konfigurationsdaten wurden über HTTPS durch einen ECDH-basierten Schlüsselaustausch geschützt durch ChaCha20-Poly1305 geliefert, und der Zugriff auf die Konfiguration erforderte eine fest codierte GUID.

Abschwächung

Verteidiger sollten mshta.exe die Ausführung von Dateien blockieren, die von nicht vertrauenswürdigen URLs abgerufen wurden, und das Ausführen des Run-Dialogs per Gruppenrichtlinie, wo möglich, deaktivieren. Anwendungssteuerungstools wie AppLocker oder WDAC sollten verwendet werden, um unautorisierte PowerShell- und HTA-Ausführungen zu verhindern. Sicherheitsteams sollten auch nach bekannten Kaspersky-Treiberpfaden und Überprüfungen der ukrainischen Tastaturlayouts überwachen, da diese auf Ausweichverhalten hinweisen können. Endpunktschutz sollte in der Lage sein, reflektive Injektionstechniken und Loader zu erkennen, die sich auf API-Hashing stützen.

Antwort

Wenn eine Amatera Stealer-Aktivität erkannt wird, isolieren Sie das betroffene System sofort, stoppen Sie den bösartigen Prozess und sammeln Sie Speicherdumps zur Schlüssel- und Nutzlastanalyse. Decodierte TLS-Verbindungen sollten, wo möglich, abgefangen werden, um Konfigurationsdetails wiederherzustellen und eventuell exfiltrierte Daten zu identifizieren. Eine vollständige Überprüfung der Anmeldedaten und Kryptowährungs-Wallets, die auf dem Host vorhanden sind, sollte durchgeführt werden. Organisationen sollten auch einen indikatorbasierten Jagdprozess im gesamten Umfeld mit den gemeldeten IOCs und den zugehörigen Angreifertechniken starten.

graph TB classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef process fill:#99ff99 classDef technique fill:#ffeb99 classDef operator fill:#ff9900 action_user_execution[„Aktion – T1218.005 mshta-Ausführung Benutzer führt schädliche HTML-Anwendung aus“] class action_user_execution action process_powershell[„Prozess – PowerShell Base64-kodierter Befehl“] class process_powershell process tool_reflective_loader[„Tool – reflektiver Loader Lädt 32-Bit-Shellcode herunter“] class tool_reflective_loader tool technique_reflective_loader[„Technik – T1620 reflektives Code-Laden“] class technique_reflective_loader technique technique_xor_obfusc[„Technik – T1027.002 XOR-Obfuskation“] class technique_xor_obfusc technique technique_aplib_compress[„Technik – T1027.007 aPLib-Kompression“] class technique_aplib_compress technique technique_anti_debug[„Technik – T1652 Analyseumgebung erkennen“] class technique_anti_debug technique malware_stealer[„Malware – Stealer Sammelt Zugangsdaten, Seed-Phrasen und private Schlüssel“] class malware_stealer malware technique_credential_browser[„Technik – T1555.003 Browser-Anmeldedaten“] class technique_credential_browser technique technique_credential_manager[„Technik – T1555.004 Windows-Anmeldeinformationsmanager“] class technique_credential_manager technique technique_credential_manager_file[„Technik – T1555.005 Passwortmanager“] class technique_credential_manager_file technique technique_credential_chat[„Technik – T1552.008 unsichere Chat-Übertragung“] class technique_credential_chat technique technique_credential_files[„Technik – T1552.001 Anmeldedaten-Dateien“] class technique_credential_files technique technique_search_downloads[„Technik – Suche in Downloads nach Seed-Phrasen und Schlüsseln“] class technique_search_downloads technique technique_zip[„Technik – T1560 Daten archivieren“] class technique_zip technique technique_https_exfil[„Technik – T1573.001 HTTPS für C2“] class technique_https_exfil technique technique_encrypted_exfil[„Technik – T1041 verschlüsselte Exfiltration“] class technique_encrypted_exfil technique action_user_execution –>|führt_aus| process_powershell process_powershell –>|lädt_herunter| tool_reflective_loader tool_reflective_loader –>|implementiert| technique_reflective_loader tool_reflective_loader –>|nutzt| technique_xor_obfusc tool_reflective_loader –>|nutzt| technique_aplib_compress tool_reflective_loader –>|umgeht Erkennung| technique_anti_debug tool_reflective_loader –>|lädt| malware_stealer malware_stealer –>|sammelt| technique_credential_browser malware_stealer –>|sammelt| technique_credential_manager malware_stealer –>|sammelt| technique_credential_manager_file malware_stealer –>|sammelt| technique_credential_chat malware_stealer –>|sammelt| technique_credential_files malware_stealer –>|sucht| technique_search_downloads malware_stealer –>|archiviert| technique_zip technique_zip –>|exfiltriert über| technique_https_exfil technique_https_exfil –>|nutzt Verschlüsselung| technique_encrypted_exfil

Angriffsablauf

Angriffsablauf und Befehle:
Ein Angreifer, der PowerShell-Ausführung auf einem kompromittierten Host erlangt hat, möchte einen Kaspersky-Treiberausweichungsfehler ausnutzen. Er verwendet PowerShells New-Item Cmdlet, um vier Köder-Treiberdateien (klif.sys, kldisk.sys, klhk.sys, kneps.sys) in C:WindowsSysWOW64driversabzulegen. Damit erzeugen sie genau die Befehlszeilen, die die Sigma-Regel abgleicht, wodurch ein Alert ausgelöst wird und gleichzeitig Dateien platziert werden, die später für Privilegieneskalation oder Persistenz genutzt werden könnten.

Regressionstest-Skript:

# PowerShell-Skript, um die vier Köder-Kaspersky-Treiberdateien zu erstellen.
$driverPath = "C:WindowsSysWOW64drivers"
$files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys")

foreach ($f in $files) {
    $fullPath = Join-Path -Path $driverPath -ChildPath $f
    try {
        New-Item -Path $fullPath -ItemType File -Force -ErrorAction Stop |
            Out-Null
        Write-Host "[+] $fullPath erstellt"
    } catch {
        Write-Warning "[-] Erstellen von $fullPath fehlgeschlagen: $_"
    }
}

Bereinigungsbefehle:

# Entfernen Sie die erstellten Köder-Treiberdateien, um den Host in seinen ursprünglichen Zustand zurückzusetzen.
$driverPath = "C:WindowsSysWOW64drivers"
$files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys")

foreach ($f in $files) {
    $fullPath = Join-Path -Path $driverPath -ChildPath $f
    if (Test-Path $fullPath) {
        Remove-Item -Path $fullPath -Force
        Write-Host "[+] $fullPath entfernt"
    }
}

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten