Amatera Stealer 4.0.2 Beta: Що нового в цій версії
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Amatera Stealer 4.0.2 Beta – це перероблений C++ інформаційний стілер, що просувається, як Malware-as-a-Service, з 2018 року. Ця оновлена версія вводить покращені можливості антидебагування і антианалізу, включає геофенсінг перевірки, пов’язані з продуктами Kaspersky та українськими розкладками клавіатур, та замінює AES-256-CBC на обмін ключами ECDH у поєднанні з ChaCha20-Poly1305 для шифрування команд і управління. Його модулі збору також розширено для цільових додаткових криптовалютних гаманців та розширень браузера, додавши підтримку при зборі артефактів Discord і Signal. Доставка послуговується ClickFix mshta.exe ланцюгом, що розгортає завантажувач оболонок 32-біт, який рефлексивно інжектує стілер безпосередньо в пам’ять.
Розслідування
Одиниця реагування на загрози eSentire спостерігала весь ланцюг доставки в фінансово-секторному середовищі у квітні 2026 року. Їхній аналіз виявив 32-бітний завантажувач оболонок, який визначив сім основних API, розшифрував свій пейлоад за допомогою 128-байтового ключа XOR, декомпресував його за допомогою aPLib і виконав рефлексивну PE-ін’єкцію. Завантажувач також реалізував методи вирішення системних викликів RecycledGate і FreshyCalls разом із шифруванням чисел системних викликів. Конфігураційні дані доставлялися через HTTPS за допомогою обміну ключами ECDH, захищеного ChaCha20-Poly1305, а доступ до конфігурації вимагав жорстко запрограмованого GUID.
Пом’якшення
Захисники повинні блокувати mshta.exe виконання для файлів, отриманих з ненадійних URL-адрес, і відключити діалогове вікно Запуск за допомогою групової політики, де це можливо. Інструменти контролю додатків, такі як AppLocker або WDAC, повинні використовуватися для попередження несанкціонованого виконання PowerShell і HTA. Команди безпеки також повинні контролювати відомі шляхи драйверів Kaspersky і перевірки українських розкладок клавіатур, так як це може свідчити про ухилення. Захист кінцевих точок повинен бути здатним виявляти техніки рефлексивної ін’єкції та завантажувачі, що використовують хешування API.
Відповідь
Якщо виявлена активність Amatera Stealer, відразу ж ізолюйте систему, зупиніть шкідливий процес і зберіть дампи пам’яті для ключового аналізу та аналізу пейлоаду. Захоплення розшифрованого TLS-трафіку, де це можливо, для відновлення деталей конфігурації та виявлення будь-яких ексфільтрованих даних. Повний огляд облікових даних та криптовалютних гаманців на хості повинні бути проведені. Організації також повинні запустити полювання на індикатори на основі звітованих IOC та пов’язаних з атакуючими технік.
Потік атаки
Детекції
Підозріли LOLBAS MSHTA Ухилення від Захисту Поведінкою з Виявленням Пов’язаних Команд (за допомогою process_creation)
Переглянути
Підозрілий Command and Control через Незвичний Домен Першого Рівня (TLD) DNS-запит (через dns)
Переглянути
Індикатори (HashSha256) для виявлення: Amatera Stealer 4.0.2 Beta: Що нового в цій версії
Переглянути
Створення Декомірних Файлів Драйверів Kaspersky [Windows Powershell]
Переглянути
Мережеве Підключення до C2-та Amatera Stealer і Dropper URL [Windows Мережеве Підключення]
Переглянути
Потенційно Шкідливе Виконання через mshta та PowerShell [Створення Процесу Windows]
Переглянути
Виконання Симуляції
Передумова: Тестові Телеметрія та Контрольний Перевірка Базового Рівня повинні бути пройдени.
Розум: Цей розділ детально описує точне виконання техніки противника (TTP), призначене для виклику правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати ідентифіковані TTP та націлюватися на генерацію точної телеметрії, очікуваної логікою виявлення.
-
Атаковий Нарратив та Команди:
Зловмисник, який отримав виконання PowerShell на компрометованому хості, бажає використовувати помилку ухилення драйвера Kaspersky. Вони використовують PowerShellNew-Itemкоманда для того, щоб завершити чотири декомірних файли драйвера (klif.sys,kldisk.sys,klhk.sys,kneps.sys) уC:WindowsSysWOW64drivers. Завдяки цьому вони генерують точні командні рядки, які Sigma-правило відстежує, тим самим спричиняючи тривогу, одночасно закладаючи файли, які можуть бути використані для подальшого підвищення привілеїв або персистенції. -
Сценарій Тестування Регресії:
# Сценарій PowerShell для створення чотирьох декомірних файлів драйвера Kaspersky. $driverPath = "C:WindowsSysWOW64drivers" $files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys") foreach ($f in $files) { $fullPath = Join-Path -Path $driverPath -ChildPath $f try { New-Item -Path $fullPath -ItemType File -Force -ErrorAction Stop | Out-Null Write-Host "[+] Створено $fullPath" } catch { Write-Warning "[-] Не вдалося створити $fullPath : $_" } } -
Команди Очистки:
# Видалити створені декомірні файли драйверів, щоб відновити хост до його початкового стану. $driverPath = "C:WindowsSysWOW64drivers" $files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys") foreach ($f in $files) { $fullPath = Join-Path -Path $driverPath -ChildPath $f if (Test-Path $fullPath) { Remove-Item -Path $fullPath -Force Write-Host "[+] Видалено $fullPath" } }