Panorama e vetor inicial
O ataque começa convencendo a vítima a abrir a janela "Executar" do Windows e colar comandos — técnica apelidada de ClickFix. Usuários instruídos a seguir passos aparentemente inocentes acabam acionando um downloader .NET que busca payloads hospedados em serviços como MediaFire.
O que a cadeia instala
Segundo análise técnica disponível, a sequência inicial entrega o Amatera Stealer (rebatizado de ACR Stealer em versões anteriores) e, em seguida, o NetSupport RAT. Amatera concentra-se em coletar credenciais de navegador, carteiras e gerenciadores de senha; NetSupport fornece acesso remoto persistente ao invasor.
Evasão e técnicas usadas
- O downloader .NET recupera payloads cifrados (RC2) e é empacotado com Agile.net para dificultar análise.
- O artefato final é protegido por um Pure Crypter e usa técnicas de process injection para execução furtiva.
- O stealer emprega PowerShell ofuscado e uma rotina de XOR com a string "AMSI_RESULT_NOT_DETECTED" para descriptografar estágios — uma técnica destinada a confundir análise manual e automatizada.
- Amatera explora chamadas WoW64 SysCalls para contornar ferramentas de endpoint e antivírus, reduzindo a efetividade de controles tradicionais.
- Durante a execução, o ataque tenta desativar AMSI sobrescrevendo strings de API relevantes, tornando a varredura de payloads menos eficaz.
- Comunicações com C2 usam criptografia (relatada como AES-256-CBC) para ocultar exfiltração e comandos.
Seleção de alvos e comportamento pós-comprometimento
A campanha adota uma abordagem seletiva: o loader e o stealer coletam dados e, quando um alvo é considerado valioso (ex.: presença de carteiras de criptomoedas ou acesso a redes corporativas), o operador distribui cargas adicionais como NetSupport RAT. Dados roubados são empacotados em ZIPs e enviados por canais cifrados para servidores controlados pelos criminosos.
Detecção e mitigação
As recomendações técnicas extraídas da análise incluem: bloquear ou monitorar downloads de serviços de compartilhamento público, inspecionar e bloquear invocações suspeitas do PowerShell e do processo de descompressão, e aplicar controles que previnam a execução de comandos vindos da caixa "Executar" por usuários não administrativos. Equipes de SOC devem procurar sinais de injeção de processos, desativação de AMSI e tráfego TLS não padronizado dirigido a hosts de C2.
Limitações das informações
As análises públicas descrevem componentes e técnicas (RC2, Agile.net, Pure Crypter, WoW64 syscalls, uso de AMSI override), mas não trazem contagens de vítimas ou atribuição a uma infraestrutura criminal específica. As amostras e indicadores apontados pelos investigadores permitem detecção, mas as fontes não divulgam uma lista completa de indicadores de comprometimento (IoCs) no texto analisado.
O que fazer agora
Organizações devem reforçar treinamento contra engenharia social que demonstre o risco de colar e executar comandos na caixa "Executar"; aplicar bloqueios no uso de executáveis desconhecidos; endurecer políticas de execução de scripts; e monitorar conexões de processos de navegação e de desktop remoto. Controles de EDR capazes de detectar injeção de processos e técnicas WoW64 são cruciais para reduzir o risco.