SOC Prime Bias: Середній

20 May 2026 21:56 UTC

Amatera Stealer 4.0.2 Beta: Що нового в цій версії

Author Photo
SOC Prime Team linkedin icon Стежити
Amatera Stealer 4.0.2 Beta: Що нового в цій версії
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Amatera Stealer 4.0.2 Beta – це перероблений C++ інформаційний стілер, що просувається, як Malware-as-a-Service, з 2018 року. Ця оновлена версія вводить покращені можливості антидебагування і антианалізу, включає геофенсінг перевірки, пов’язані з продуктами Kaspersky та українськими розкладками клавіатур, та замінює AES-256-CBC на обмін ключами ECDH у поєднанні з ChaCha20-Poly1305 для шифрування команд і управління. Його модулі збору також розширено для цільових додаткових криптовалютних гаманців та розширень браузера, додавши підтримку при зборі артефактів Discord і Signal. Доставка послуговується ClickFix mshta.exe ланцюгом, що розгортає завантажувач оболонок 32-біт, який рефлексивно інжектує стілер безпосередньо в пам’ять.

Розслідування

Одиниця реагування на загрози eSentire спостерігала весь ланцюг доставки в фінансово-секторному середовищі у квітні 2026 року. Їхній аналіз виявив 32-бітний завантажувач оболонок, який визначив сім основних API, розшифрував свій пейлоад за допомогою 128-байтового ключа XOR, декомпресував його за допомогою aPLib і виконав рефлексивну PE-ін’єкцію. Завантажувач також реалізував методи вирішення системних викликів RecycledGate і FreshyCalls разом із шифруванням чисел системних викликів. Конфігураційні дані доставлялися через HTTPS за допомогою обміну ключами ECDH, захищеного ChaCha20-Poly1305, а доступ до конфігурації вимагав жорстко запрограмованого GUID.

Пом’якшення

Захисники повинні блокувати mshta.exe виконання для файлів, отриманих з ненадійних URL-адрес, і відключити діалогове вікно Запуск за допомогою групової політики, де це можливо. Інструменти контролю додатків, такі як AppLocker або WDAC, повинні використовуватися для попередження несанкціонованого виконання PowerShell і HTA. Команди безпеки також повинні контролювати відомі шляхи драйверів Kaspersky і перевірки українських розкладок клавіатур, так як це може свідчити про ухилення. Захист кінцевих точок повинен бути здатним виявляти техніки рефлексивної ін’єкції та завантажувачі, що використовують хешування API.

Відповідь

Якщо виявлена активність Amatera Stealer, відразу ж ізолюйте систему, зупиніть шкідливий процес і зберіть дампи пам’яті для ключового аналізу та аналізу пейлоаду. Захоплення розшифрованого TLS-трафіку, де це можливо, для відновлення деталей конфігурації та виявлення будь-яких ексфільтрованих даних. Повний огляд облікових даних та криптовалютних гаманців на хості повинні бути проведені. Організації також повинні запустити полювання на індикатори на основі звітованих IOC та пов’язаних з атакуючими технік.

Потік атаки

Виконання Симуляції

Передумова: Тестові Телеметрія та Контрольний Перевірка Базового Рівня повинні бути пройдени.

Розум: Цей розділ детально описує точне виконання техніки противника (TTP), призначене для виклику правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати ідентифіковані TTP та націлюватися на генерацію точної телеметрії, очікуваної логікою виявлення.

  • Атаковий Нарратив та Команди:
    Зловмисник, який отримав виконання PowerShell на компрометованому хості, бажає використовувати помилку ухилення драйвера Kaspersky. Вони використовують PowerShell New-Item команда для того, щоб завершити чотири декомірних файли драйвера (klif.sys, kldisk.sys, klhk.sys, kneps.sys) у C:WindowsSysWOW64drivers. Завдяки цьому вони генерують точні командні рядки, які Sigma-правило відстежує, тим самим спричиняючи тривогу, одночасно закладаючи файли, які можуть бути використані для подальшого підвищення привілеїв або персистенції.

  • Сценарій Тестування Регресії:

    # Сценарій PowerShell для створення чотирьох декомірних файлів драйвера Kaspersky.
    $driverPath = "C:WindowsSysWOW64drivers"
    $files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys")
    
    foreach ($f in $files) {
        $fullPath = Join-Path -Path $driverPath -ChildPath $f
        try {
            New-Item -Path $fullPath -ItemType File -Force -ErrorAction Stop |
                Out-Null
            Write-Host "[+] Створено $fullPath"
        } catch {
            Write-Warning "[-] Не вдалося створити $fullPath : $_"
        }
    }
  • Команди Очистки:

    # Видалити створені декомірні файли драйверів, щоб відновити хост до його початкового стану.
    $driverPath = "C:WindowsSysWOW64drivers"
    $files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys")
    
    foreach ($f in $files) {
        $fullPath = Join-Path -Path $driverPath -ChildPath $f
        if (Test-Path $fullPath) {
            Remove-Item -Path $fullPath -Force
            Write-Host "[+] Видалено $fullPath"
        }
    }