Amatera Stealer 4.0.2 Beta : Quoi de neuf dans cette variante
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Amatera Stealer 4.0.2 Beta est un voleur d’informations en C++ retravaillé, commercialisé en tant que Malware-as-a-Service depuis 2018. Cette version mise à jour introduit des capacités renforcées d’anti-debugging et d’anti-analyse, inclut des vérifications de géorestriction liées aux produits Kaspersky et aux dispositions de clavier ukrainiennes, et remplace AES-256-CBC par un échange de clés ECDH combiné avec ChaCha20-Poly1305 pour le chiffrement des commandes et du contrôle. Ses modules de collecte se sont également étendus pour cibler des portefeuilles de cryptomonnaie supplémentaires et des extensions de navigateur, tout en ajoutant la prise en charge de la collecte d’artefacts Discord et Signal. La livraison repose sur un ClickFix mshta.exe chaîne qui déploie un chargeur de shellcode 32 bits, qui injecte de manière réflexive le voleur directement en mémoire.
Enquête
L’unité de réponse aux menaces eSentire a observé toute la chaîne de livraison dans un environnement du secteur financier en avril 2026. Leur analyse a identifié un chargeur de shellcode 32 bits qui a résolu sept API essentielles, a déchiffré son chargement utile en utilisant une clé XOR de 128 octets, l’a décompressé avec aPLib, et a effectué une injection PE réflexive. Le chargeur a également implémenté la méthode de résolution d’appels système RecycledGate et FreshyCalls avec l’encryptage des numéros d’appels système. Les données de configuration ont été livrées via HTTPS grâce à un échange de clés basé sur ECDH protégé par ChaCha20-Poly1305, et l’accès à la configuration nécessitait un GUID codé en dur.
Atténuation
Les défenseurs devraient bloquer mshta.exe l’exécution des fichiers récupérés depuis des URL non fiables et désactiver la boîte de dialogue Exécuter via la stratégie de groupe dans la mesure du possible. Des outils de contrôle des applications tels que AppLocker ou WDAC devraient être utilisés pour empêcher l’exécution non autorisée de PowerShell et HTA. Les équipes de sécurité devraient également surveiller les chemins connus des pilotes Kaspersky et les vérifications des dispositions de clavier ukrainiennes, car cela peut indiquer un comportement de contournement. La protection des terminaux devrait être capable de détecter les techniques d’injection réflexive et les chargeurs qui comptent sur le hachage d’API.
Réponse
Si une activité de l’Amatera Stealer est détectée, isolez immédiatement le système affecté, arrêtez le processus malveillant, et collectez des dumps mémoire pour l’analyse des clés et des charges utiles. Capturez le trafic TLS déchiffré lorsque cela est possible pour récupérer les détails de la configuration et identifier toutes les données exfiltrées. Un examen complet des identifiants et des portefeuilles de cryptomonnaie présents sur l’hôte doit être réalisé. Les organisations devraient également lancer une chasse basée sur des indicateurs à travers l’environnement en utilisant les IOC rapportés et les techniques d’attaque connexes.
Flux d’Attaque
Détections
Comportement suspect de contournement de défense MSHTA LOLBAS détecté par les commandes associées (via process_creation)
Voir
Commande et contrôle suspect par requête DNS de domaine de premier niveau (TLD) inhabituel (via dns)
Voir
IOC (HashSha256) à détecter : Amatera Stealer 4.0.2 Beta : Nouveautés de cette variante
Voir
Création PowerShell de fichiers pilotes Kaspersky factices [Windows Powershell]
Voir
Connexion réseau à Amatera Stealer C2 et URL de dépôt [Connection réseau Windows]
Voir
Exécution potentiellement malveillante via mshta et PowerShell [Création de processus Windows]
Voir
Exécution de Simulation
Prérequis : Le contrôle préliminaire de télémétrie & base de référence doit avoir été réussi.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et la narration DOIVENT directement refléter les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Récit et Commandes d’Attaque :
Un attaquant ayant obtenu l’exécution PowerShell sur un hôte compromis souhaite exploiter un bug d’évasion de pilote Kaspersky. Il utilisecmdlet pour déposer quatre fichiers de pilote de diversion (cmdlet pour déposer quatre fichiers de pilote de diversion (klif.sys,kldisk.sys,klhk.sys,kneps.sys) dansC:WindowsSysWOW64drivers. En faisant cela, ils génèrent les chaînes de commande exactes que la règle Sigma correspond, provoquant ainsi une alerte tout en plantant des fichiers pouvant être exploités plus tard pour l’escalade de privilèges ou la persistance. -
Script de Test de Régression :
# Script PowerShell pour créer les quatre fichiers pilotes Kaspersky factices. $driverPath = "C:WindowsSysWOW64drivers" $files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys") foreach ($f in $files) { $fullPath = Join-Path -Path $driverPath -ChildPath $f try { New-Item -Path $fullPath -ItemType File -Force -ErrorAction Stop | Out-Null Write-Host "[+] Created $fullPath" } catch { Write-Warning "[-] Failed to create $fullPath : $_" } } -
Commandes de Nettoyage :
# Supprimer les fichiers pilotes factices créés pour restaurer l'hôte à son état d'origine. $driverPath = "C:WindowsSysWOW64drivers" $files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys") foreach ($f in $files) { $fullPath = Join-Path -Path $driverPath -ChildPath $f if (Test-Path $fullPath) { Remove-Item -Path $fullPath -Force Write-Host "[+] Removed $fullPath" } }