Amatera Stealer 4.0.2 Beta: Cosa c’è di nuovo in questa variante

SOC Prime Team

Segui

Amatera Stealer 4.0.2 Beta: Cosa c’è di nuovo in questa variante

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Sommario

Amatera Stealer 4.0.2 Beta è un ladro di informazioni in C++ rielaborato, commercializzato come Malware-as-a-Service dal 2018. Questa versione aggiornata introduce capacità migliorate di anti-debugging e anti-analisi, include controlli di geofencing legati ai prodotti Kaspersky e layout di tastiera ucraini, e sostituisce AES-256-CBC con uno scambio di chiavi ECDH combinato con ChaCha20-Poly1305 per la crittografia del comando e controllo. I suoi moduli di raccolta si sono espansi anche per mirare a portafogli di criptovalute aggiuntivi ed estensioni del browser, aggiungendo supporto per raccogliere artefatti Discord e Signal. La consegna si basa su un ClickFix mshta.exe catena che distribuisce un caricatore shellcode a 32 bit, che inietta riflettivamente il ladro direttamente in memoria.

Indagine

L’Unità di Risposta alle Minacce eSentire ha osservato l’intera catena di consegna in un ambiente del settore finanziario nell’aprile 2026. La loro analisi ha identificato un caricatore shellcode a 32 bit che risolveva sette API principali, decriptava il suo payload usando una chiave XOR a 128 byte, lo decomprimeva con aPLib, ed effettuava un’iniezione riflettente PE. Il caricatore ha anche implementato il metodo di risoluzione syscalls RecycledGate e FreshyCalls insieme alla crittografia dei numeri syscall. I dati di configurazione sono stati consegnati tramite HTTPS attraverso uno scambio di chiavi basato su ECDH protetto da ChaCha20-Poly1305, e l’accesso alla configurazione richiedeva un GUID hard-coded.

Mitigazione

I difensori dovrebbero bloccare mshta.exe l’esecuzione per file recuperati da URL non sicuri e disabilitare la finestra di dialogo Esegui tramite Criteri di Gruppo dove possibile. Strumenti di controllo dell’applicazione come AppLocker o WDAC dovrebbero essere utilizzati per prevenire esecuzioni non autorizzate di PowerShell e HTA. I team di sicurezza devono anche monitorare i percorsi noti dei driver Kaspersky e controlli per layout di tastiera ucraini, poiché questi possono indicare comportamenti di elusione. La protezione degli endpoint dovrebbe essere in grado di rilevare tecniche di iniezione riflettente e caricatori che si basano sull’hashing delle API.

Risposta

Se viene rilevata un’attività di Amatera Stealer, isolare immediatamente il sistema interessato, fermare il processo dannoso e raccogliere dump di memoria per l’analisi di chiavi e payload. Catturare il traffico TLS decriptato dove possibile per recuperare i dettagli di configurazione e identificare eventuali dati esfiltrati. Deve essere condotta una revisione completa delle credenziali e dei portafogli di criptovaluta presenti sul dispositivo. Le organizzazioni dovrebbero anche avviare una caccia basata sugli indicatori in tutto l’ambiente utilizzando gli IOCs riportati e le tecniche degli attaccanti correlate.

graph TB classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef process fill:#99ff99 classDef technique fill:#ffeb99 classDef operator fill:#ff9900 action_user_execution[“Azione – T1218.005 esecuzione mshta L’utente esegue applicazione HTML malevola”] class action_user_execution action process_powershell[“Processo – PowerShell Comando Base64”] class process_powershell process tool_reflective_loader[“Tool – loader riflettivo Scarica shellcode a 32 bit”] class tool_reflective_loader tool technique_reflective_loader[“Tecnica – T1620 reflective code loading”] class technique_reflective_loader technique technique_xor_obfusc[“Tecnica – T1027.002 XOR obfuscation”] class technique_xor_obfusc technique technique_aplib_compress[“Tecnica – T1027.007 compressione aPLib”] class technique_aplib_compress technique technique_anti_debug[“Tecnica – T1652 rilevamento ambiente di analisi”] class technique_anti_debug technique malware_stealer[“Malware – stealer Raccoglie credenziali, seed phrase e chiavi private”] class malware_stealer malware technique_credential_browser[“Tecnica – T1555.003 credenziali browser”] class technique_credential_browser technique technique_credential_manager[“Tecnica – T1555.004 Credential Manager Windows”] class technique_credential_manager technique technique_credential_manager_file[“Tecnica – T1555.005 password manager”] class technique_credential_manager_file technique technique_credential_chat[“Tecnica – T1552.008 trasmissione chat non sicura”] class technique_credential_chat technique technique_credential_files[“Tecnica – T1552.001 file credenziali”] class technique_credential_files technique technique_search_downloads[“Tecnica – ricerca in download per seed phrase e chiavi”] class technique_search_downloads technique technique_zip[“Tecnica – T1560 archiviazione dati”] class technique_zip technique technique_https_exfil[“Tecnica – T1573.001 HTTPS C2”] class technique_https_exfil technique technique_encrypted_exfil[“Tecnica – T1041 esfiltrazione cifrata”] class technique_encrypted_exfil technique action_user_execution –>|esegue| process_powershell process_powershell –>|scarica| tool_reflective_loader tool_reflective_loader –>|implementa| technique_reflective_loader tool_reflective_loader –>|usa| technique_xor_obfusc tool_reflective_loader –>|usa| technique_aplib_compress tool_reflective_loader –>|evade rilevamento| technique_anti_debug tool_reflective_loader –>|carica| malware_stealer malware_stealer –>|raccoglie| technique_credential_browser malware_stealer –>|raccoglie| technique_credential_manager malware_stealer –>|raccoglie| technique_credential_manager_file malware_stealer –>|raccoglie| technique_credential_chat malware_stealer –>|raccoglie| technique_credential_files malware_stealer –>|cerca| technique_search_downloads malware_stealer –>|archivia| technique_zip technique_zip –>|esfiltra via| technique_https_exfil technique_https_exfil –>|usa cifratura| technique_encrypted_exfil

Flusso di Attacco

Narrativa dell’Attacco & Comandi:
Un attaccante che ha ottenuto l’esecuzione di PowerShell su un host compromesso vuole sfruttare un bug di elusione driver Kaspersky. Usano il cmdlet New-Item di PowerShell per depositare quattro file driver fittizi (klif.sys, kldisk.sys, klhk.sys, kneps.sys) in C:WindowsSysWOW64drivers. In questo modo generano le esatte stringhe da riga di comando che la regola Sigma confronta, provocando così un allerta mentre piantano anche file che potrebbero essere sfruttati per l’escalation dei privilegi o la persistenza.

Script di Test di Regressione:

# Script PowerShell per creare i quattro file driver Kaspersky fittizi.
$driverPath = "C:WindowsSysWOW64drivers"
$files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys")

foreach ($f in $files) {
    $fullPath = Join-Path -Path $driverPath -ChildPath $f
    try {
        New-Item -Path $fullPath -ItemType File -Force -ErrorAction Stop |
            Out-Null
        Write-Host "[+] Creato $fullPath"
    } catch {
        Write-Warning "[-] Impossibile creare $fullPath : $_"
    }
}

Comandi di Pulizia:

# Rimuovere i file driver fittizi creati per ripristinare l'host al suo stato originale.
$driverPath = "C:WindowsSysWOW64drivers"
$files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys")

foreach ($f in $files) {
    $fullPath = Join-Path -Path $driverPath -ChildPath $f
    if (Test-Path $fullPath) {
        Remove-Item -Path $fullPath -Force
        Write-Host "[+] Rimosso $fullPath"
    }
}

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis