Amatera Stealer 4.0.2 Beta: O que há de novo nesta variante
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Amatera Stealer 4.0.2 Beta é um ladrão de informações em C++ reformulado que tem sido comercializado como Malware-as-a-Service desde 2018. Esta versão atualizada apresenta capacidades mais fortes de anti-debugging e anti-análise, inclui verificações de geofencing ligadas a produtos da Kaspersky e layouts de teclado ucranianos, e substitui o AES-256-CBC por uma troca de chaves ECDH combinada com ChaCha20-Poly1305 para criptografar o comando e controle. Seus módulos de coleta também foram ampliados para adicionar carteiras de criptomoeda e extensões de navegador adicionais, além de suportar a coleta de artefatos do Discord e Signal. A entrega é baseada em um ClickFix mshta.exe cadeia que implanta um carregador de shellcode de 32 bits, que injeta reflexivamente o stealer diretamente na memória.
Investigação
A Unidade de Resposta a Ameaças da eSentire observou toda a cadeia de entrega em um ambiente do setor financeiro em abril de 2026. Sua análise identificou um carregador de shellcode de 32 bits que resolveu sete APIs básicas, descriptografou sua carga usando uma chave XOR de 128 bytes, descompactou com aPLib e realizou a injeção PE refletiva. O carregador também implementou o método de resolução de syscall RecycledGate e FreshyCalls junto com a criptografia dos números syscall. Os dados de configuração foram entregues por HTTPS através de uma troca de chaves baseada em ECDH protegida por ChaCha20-Poly1305, e o acesso à configuração exigia um GUID codificado.
Mitigação
Os defensores devem bloquear mshta.exe a execução de arquivos recuperados de URLs não confiáveis e desabilitar a caixa de diálogo Executar via Política de Grupo onde possível. Ferramentas de controle de aplicativos, como AppLocker ou WDAC, devem ser usadas para impedir a execução não autorizada de PowerShell e HTA. As equipes de segurança também devem monitorar caminhos de drivers conhecidos da Kaspersky e verificações para layouts de teclado ucranianos, pois isso pode indicar comportamentos de evasão. A proteção de endpoint deve ser capaz de detectar técnicas de injeção reflexiva e carregadores que dependem de hashing de API.
Resposta
Se a atividade do Amatera Stealer for detectada, isolar o sistema afetado imediatamente, parar o processo malicioso e coletar dumps de memória para análise de chave e carga útil. Capturar tráfego TLS descriptografado sempre que possível para recuperar detalhes de configuração e identificar quaisquer dados exfiltrados. Deve ser conduzida uma revisão completa das credenciais e carteiras de criptomoeda presentes no host. As organizações também devem iniciar buscas baseadas em indicadores no ambiente usando os IOCs reportados e técnicas de ataque relacionadas.
Fluxo de Ataque
Detecções
Comportamento Suspeito de Evasão de Defesa LOLBAS MSHTA pela Detecção de Comandos Associados (via process_creation)
Ver
Comando e Controle Suspeito por Solicitação DNS de Domínio de Nível Superior (TLD) Incomum (via dns)
Ver
IOCs (HashSha256) para detectar: Amatera Stealer 4.0.2 Beta: Novidades nesta Variante
Ver
Criação de Arquivos de Driver Falsos da Kaspersky via PowerShell [Windows Powershell]
Ver
Conexão de Rede para C2 do Amatera Stealer e URL do Dropper [Conexão de Rede do Windows]
Ver
Execução Potencialmente Maliciosa via mshta e PowerShell [Criação de Processo do Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa e Comandos do Ataque:
Um atacante que obteve execução do PowerShell em um host comprometido deseja explorar uma falha de evasão de driver da Kaspersky. Eles usam ocmdlet para criar quatro arquivos de driver falsos (,klif.sys,kldisk.sys,klhk.sys,kneps.sys) emC:WindowsSysWOW64drivers. Ao fazer isso, eles geram exatamente as strings de linha de comando que a regra Sigma corresponde, provocando um alerta enquanto também plantam arquivos que podem ser aproveitados para elevação de privilégio ou persistência mais tarde. -
Script de Teste de Regressão:
# Script PowerShell para criar os quatro arquivos de driver falsos da Kaspersky. $driverPath = "C:WindowsSysWOW64drivers" $files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys") foreach ($f in $files) { $fullPath = Join-Path -Path $driverPath -ChildPath $f try { New-Item -Path $fullPath -ItemType File -Force -ErrorAction Stop | Out-Null Write-Host "[+] Criado $fullPath" } catch { Write-Warning "[-] Falha ao criar $fullPath : $_" } } -
Comandos de Limpeza:
# Remova os arquivos de driver falsos criados para restaurar o host ao seu estado original. $driverPath = "C:WindowsSysWOW64drivers" $files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys") foreach ($f in $files) { $fullPath = Join-Path -Path $driverPath -ChildPath $f if (Test-Path $fullPath) { Remove-Item -Path $fullPath -Force Write-Host "[+] Removido $fullPath" } }