Amatera Stealer 4.0.2 Beta: Що нового в цій версії

SOC Prime Team

Стежити

Amatera Stealer 4.0.2 Beta: Що нового в цій версії

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Amatera Stealer 4.0.2 Beta – це перероблений C++ інформаційний стілер, що просувається, як Malware-as-a-Service, з 2018 року. Ця оновлена версія вводить покращені можливості антидебагування і антианалізу, включає геофенсінг перевірки, пов’язані з продуктами Kaspersky та українськими розкладками клавіатур, та замінює AES-256-CBC на обмін ключами ECDH у поєднанні з ChaCha20-Poly1305 для шифрування команд і управління. Його модулі збору також розширено для цільових додаткових криптовалютних гаманців та розширень браузера, додавши підтримку при зборі артефактів Discord і Signal. Доставка послуговується ClickFix mshta.exe ланцюгом, що розгортає завантажувач оболонок 32-біт, який рефлексивно інжектує стілер безпосередньо в пам’ять.

Розслідування

Одиниця реагування на загрози eSentire спостерігала весь ланцюг доставки в фінансово-секторному середовищі у квітні 2026 року. Їхній аналіз виявив 32-бітний завантажувач оболонок, який визначив сім основних API, розшифрував свій пейлоад за допомогою 128-байтового ключа XOR, декомпресував його за допомогою aPLib і виконав рефлексивну PE-ін’єкцію. Завантажувач також реалізував методи вирішення системних викликів RecycledGate і FreshyCalls разом із шифруванням чисел системних викликів. Конфігураційні дані доставлялися через HTTPS за допомогою обміну ключами ECDH, захищеного ChaCha20-Poly1305, а доступ до конфігурації вимагав жорстко запрограмованого GUID.

Пом’якшення

Захисники повинні блокувати mshta.exe виконання для файлів, отриманих з ненадійних URL-адрес, і відключити діалогове вікно Запуск за допомогою групової політики, де це можливо. Інструменти контролю додатків, такі як AppLocker або WDAC, повинні використовуватися для попередження несанкціонованого виконання PowerShell і HTA. Команди безпеки також повинні контролювати відомі шляхи драйверів Kaspersky і перевірки українських розкладок клавіатур, так як це може свідчити про ухилення. Захист кінцевих точок повинен бути здатним виявляти техніки рефлексивної ін’єкції та завантажувачі, що використовують хешування API.

Відповідь

Якщо виявлена активність Amatera Stealer, відразу ж ізолюйте систему, зупиніть шкідливий процес і зберіть дампи пам’яті для ключового аналізу та аналізу пейлоаду. Захоплення розшифрованого TLS-трафіку, де це можливо, для відновлення деталей конфігурації та виявлення будь-яких ексфільтрованих даних. Повний огляд облікових даних та криптовалютних гаманців на хості повинні бути проведені. Організації також повинні запустити полювання на індикатори на основі звітованих IOC та пов’язаних з атакуючими технік.

graph TB classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef process fill:#99ff99 classDef technique fill:#ffeb99 classDef operator fill:#ff9900 action_user_execution[“Дія – T1218.005 виконання mshta Користувач запускає шкідливий HTML-додаток”] class action_user_execution action process_powershell[“Процес – PowerShell Base64 закодована команда”] class process_powershell process tool_reflective_loader[“Інструмент – рефлективний завантажувач Завантажує 32-бітний shellcode”] class tool_reflective_loader tool technique_reflective_loader[“Техніка – T1620 рефлективне завантаження коду”] class technique_reflective_loader technique technique_xor_obfusc[“Техніка – T1027.002 XOR-обфускація”] class technique_xor_obfusc technique technique_aplib_compress[“Техніка – T1027.007 стиснення aPLib”] class technique_aplib_compress technique technique_anti_debug[“Техніка – T1652 виявлення середовища аналізу”] class technique_anti_debug technique malware_stealer[“Шкідливе ПЗ – стілер Збирає облікові дані, seed-фрази та приватні ключі”] class malware_stealer malware technique_credential_browser[“Техніка – T1555.003 дані браузерів”] class technique_credential_browser technique technique_credential_manager[“Техніка – T1555.004 менеджер облікових даних Windows”] class technique_credential_manager technique technique_credential_manager_file[“Техніка – T1555.005 менеджери паролів”] class technique_credential_manager_file technique technique_credential_chat[“Техніка – T1552.008 небезпечна передача через чат”] class technique_credential_chat technique technique_credential_files[“Техніка – T1552.001 файли облікових даних”] class technique_credential_files technique technique_search_downloads[“Техніка – пошук seed-фраз і приватних ключів у завантаженнях”] class technique_search_downloads technique technique_zip[“Техніка – T1560 архівація зібраних даних”] class technique_zip technique technique_https_exfil[“Техніка – T1573.001 використання HTTPS для C2”] class technique_https_exfil technique technique_encrypted_exfil[“Техніка – T1041 шифрована ексфільтрація трафіку”] class technique_encrypted_exfil technique action_user_execution –>|виконує| process_powershell process_powershell –>|завантажує| tool_reflective_loader tool_reflective_loader –>|реалізує| technique_reflective_loader tool_reflective_loader –>|використовує| technique_xor_obfusc tool_reflective_loader –>|використовує| technique_aplib_compress tool_reflective_loader –>|уникає виявлення через| technique_anti_debug tool_reflective_loader –>|завантажує| malware_stealer malware_stealer –>|збирає| technique_credential_browser malware_stealer –>|збирає| technique_credential_manager malware_stealer –>|збирає| technique_credential_manager_file malware_stealer –>|збирає| technique_credential_chat malware_stealer –>|збирає| technique_credential_files malware_stealer –>|шукає| technique_search_downloads malware_stealer –>|архівує| technique_zip technique_zip –>|ексфільтрація через| technique_https_exfil technique_https_exfil –>|використовує шифрування| technique_encrypted_exfil

Потік атаки

Атаковий Нарратив та Команди:
Зловмисник, який отримав виконання PowerShell на компрометованому хості, бажає використовувати помилку ухилення драйвера Kaspersky. Вони використовують PowerShell New-Item команда для того, щоб завершити чотири декомірних файли драйвера (klif.sys, kldisk.sys, klhk.sys, kneps.sys) у C:WindowsSysWOW64drivers. Завдяки цьому вони генерують точні командні рядки, які Sigma-правило відстежує, тим самим спричиняючи тривогу, одночасно закладаючи файли, які можуть бути використані для подальшого підвищення привілеїв або персистенції.

Сценарій Тестування Регресії:

# Сценарій PowerShell для створення чотирьох декомірних файлів драйвера Kaspersky.
$driverPath = "C:WindowsSysWOW64drivers"
$files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys")

foreach ($f in $files) {
    $fullPath = Join-Path -Path $driverPath -ChildPath $f
    try {
        New-Item -Path $fullPath -ItemType File -Force -ErrorAction Stop |
            Out-Null
        Write-Host "[+] Створено $fullPath"
    } catch {
        Write-Warning "[-] Не вдалося створити $fullPath : $_"
    }
}

Команди Очистки:

# Видалити створені декомірні файли драйверів, щоб відновити хост до його початкового стану.
$driverPath = "C:WindowsSysWOW64drivers"
$files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys")

foreach ($f in $files) {
    $fullPath = Join-Path -Path $driverPath -ChildPath $f
    if (Test-Path $fullPath) {
        Remove-Item -Path $fullPath -Force
        Write-Host "[+] Видалено $fullPath"
    }
}

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно