SOC Prime Bias: Medio

20 May 2026 21:56 UTC

Amatera Stealer 4.0.2 Beta: Cosa c’è di nuovo in questa variante

Author Photo
SOC Prime Team linkedin icon Segui
Amatera Stealer 4.0.2 Beta: Cosa c’è di nuovo in questa variante
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Amatera Stealer 4.0.2 Beta è un ladro di informazioni in C++ rielaborato, commercializzato come Malware-as-a-Service dal 2018. Questa versione aggiornata introduce capacità migliorate di anti-debugging e anti-analisi, include controlli di geofencing legati ai prodotti Kaspersky e layout di tastiera ucraini, e sostituisce AES-256-CBC con uno scambio di chiavi ECDH combinato con ChaCha20-Poly1305 per la crittografia del comando e controllo. I suoi moduli di raccolta si sono espansi anche per mirare a portafogli di criptovalute aggiuntivi ed estensioni del browser, aggiungendo supporto per raccogliere artefatti Discord e Signal. La consegna si basa su un ClickFix mshta.exe catena che distribuisce un caricatore shellcode a 32 bit, che inietta riflettivamente il ladro direttamente in memoria.

Indagine

L’Unità di Risposta alle Minacce eSentire ha osservato l’intera catena di consegna in un ambiente del settore finanziario nell’aprile 2026. La loro analisi ha identificato un caricatore shellcode a 32 bit che risolveva sette API principali, decriptava il suo payload usando una chiave XOR a 128 byte, lo decomprimeva con aPLib, ed effettuava un’iniezione riflettente PE. Il caricatore ha anche implementato il metodo di risoluzione syscalls RecycledGate e FreshyCalls insieme alla crittografia dei numeri syscall. I dati di configurazione sono stati consegnati tramite HTTPS attraverso uno scambio di chiavi basato su ECDH protetto da ChaCha20-Poly1305, e l’accesso alla configurazione richiedeva un GUID hard-coded.

Mitigazione

I difensori dovrebbero bloccare mshta.exe l’esecuzione per file recuperati da URL non sicuri e disabilitare la finestra di dialogo Esegui tramite Criteri di Gruppo dove possibile. Strumenti di controllo dell’applicazione come AppLocker o WDAC dovrebbero essere utilizzati per prevenire esecuzioni non autorizzate di PowerShell e HTA. I team di sicurezza devono anche monitorare i percorsi noti dei driver Kaspersky e controlli per layout di tastiera ucraini, poiché questi possono indicare comportamenti di elusione. La protezione degli endpoint dovrebbe essere in grado di rilevare tecniche di iniezione riflettente e caricatori che si basano sull’hashing delle API.

Risposta

Se viene rilevata un’attività di Amatera Stealer, isolare immediatamente il sistema interessato, fermare il processo dannoso e raccogliere dump di memoria per l’analisi di chiavi e payload. Catturare il traffico TLS decriptato dove possibile per recuperare i dettagli di configurazione e identificare eventuali dati esfiltrati. Deve essere condotta una revisione completa delle credenziali e dei portafogli di criptovaluta presenti sul dispositivo. Le organizzazioni dovrebbero anche avviare una caccia basata sugli indicatori in tutto l’ambiente utilizzando gli IOCs riportati e le tecniche degli attaccanti correlate.

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere superato.

Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente le TTP identificate e mirano a generare la telemetria esatta attesa dalla logica di rilevamento.

  • Narrativa dell’Attacco & Comandi:
    Un attaccante che ha ottenuto l’esecuzione di PowerShell su un host compromesso vuole sfruttare un bug di elusione driver Kaspersky. Usano il cmdlet New-Item di PowerShell per depositare quattro file driver fittizi (klif.sys, kldisk.sys, klhk.sys, kneps.sys) in C:WindowsSysWOW64drivers. In questo modo generano le esatte stringhe da riga di comando che la regola Sigma confronta, provocando così un allerta mentre piantano anche file che potrebbero essere sfruttati per l’escalation dei privilegi o la persistenza.

  • Script di Test di Regressione:

    # Script PowerShell per creare i quattro file driver Kaspersky fittizi.
    $driverPath = "C:WindowsSysWOW64drivers"
    $files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys")
    
    foreach ($f in $files) {
        $fullPath = Join-Path -Path $driverPath -ChildPath $f
        try {
            New-Item -Path $fullPath -ItemType File -Force -ErrorAction Stop |
                Out-Null
            Write-Host "[+] Creato $fullPath"
        } catch {
            Write-Warning "[-] Impossibile creare $fullPath : $_"
        }
    }
  • Comandi di Pulizia:

    # Rimuovere i file driver fittizi creati per ripristinare l'host al suo stato originale.
    $driverPath = "C:WindowsSysWOW64drivers"
    $files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys")
    
    foreach ($f in $files) {
        $fullPath = Join-Path -Path $driverPath -ChildPath $f
        if (Test-Path $fullPath) {
            Remove-Item -Path $fullPath -Force
            Write-Host "[+] Rimosso $fullPath"
        }
    }