Новая атака EVALUSION: хакеры используют Amatera и NetSupport
Эксперты по информационной безопасности зафиксировали новую волну кибератак, в которых злоумышленники применяют усовершенствованную тактику социальной инженерии ClickFix. Кампания, получившая название EVALUSION, нацелена на распространение опасного вредоносного ПО — Amatera Stealer и NetSupport RAT.
Amatera появился на киберпреступном рынке в июне 2025 года как преемник известного ACR Stealer. До середины июля 2024 года ACR распространялся по модели MaaS (malware-as-a-service), но затем его продажи были прекращены. Стоимость подписки на Amatera варьируется от 199 долларов ежемесячно до 1499 долларов за годовой доступ.
По данным канадских специалистов в области кибербезопасности, Amatera обладает широким функционалом для кражи конфиденциальных данных. Вредоносное ПО нацелено на криптокошельки, браузерные данные, мессенджеры, FTP-клиенты и почтовые сервисы. Для обхода защитных механизмов программа использует продвинутые техники, включая WoW64 SysCalls, что позволяет ей избегать обнаружения антивирусными системами и EDR-решениями.
Механизм атаки построен на классическом сценарии ClickFix: жертвы обманом принуждаются к выполнению вредоносных команд через окно «Выполнить» в Windows при прохождении фейковой проверки reCAPTCHA.
Процесс заражения включает несколько этапов:
-Запуск скрипта через mshta.exe
-Выполнение PowerShell-скрипта
-Загрузка .NET-файла с файлообменника MediaFire
После внедрения DLL-библиотеки Amatera в процесс MSBuild.exe происходит сбор конфиденциальной информации. Перед загрузкой NetSupport RAT программа проверяет, является ли компьютер частью домена и содержит ли он ценные данные, особенно криптокошельки.
Параллельно с кампанией EVALUSION зафиксированы другие масштабные атаки:
- Рассылка писем с вредоносными VBScript-файлами под видом счетов-фактур
- Компрометация веб-сайтов с внедрением вредоносного JavaScript-кода
- Фишинговые атаки через поддельные страницы Booking.com
- Фальшивые уведомления о проблемах с доставкой электронной почты
- Использование фишинговых наборов Cephas и Tycoon 2FA
Особого внимания заслуживает набор Cephas, появившийся в августе 2024 года. Его уникальность заключается в применении нестандартной техники обфускации: вредонос генерирует случайные невидимые символы в коде, что затрудняет его обнаружение существующими системами защиты.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Microsoft внедрила революционную защиту от читинга в играх
Корпорация Microsoft анонсировала внедрение усовершенствованной системы античита, способной отправлять запросы на облачные серверы при каждой загрузке компьютера. Это решение выходит за рамки традиционных методов защиты и вызывает неоднозначную реакцию у пользователей.
Take-Two Interactive переносит фокус с консолей на ПК-игры
Игровая индустрия переживает период значительных изменений. Генеральный директор Take-Two Interactive Штраус Зельник заявил о постепенном смещении фокуса в сторону персональных компьютеров, хотя компания продолжает поддерживать консольный сегмент.
Android-ноутбуки могут стартовать с устаревшими процессорами Snapdragon X
Технологические инсайдеры сообщают о скором выходе компьютеров под управлением Android, однако их технические характеристики могут разочаровать пользователей. Проект развивается при участии Google и партнёров из Arm-экосистемы, но старт может оказаться не столь впечатляющим, как ожидалось.