新たな ClickFix キャンペーン EVALUSION:Amatera Stealer と NetSupport RAT を配布

New EVALUSION ClickFix Campaign Delivers Amatera Stealer and NetSupport RAT

2025/11/17 TheHackerNews — 世界に蔓延する ClickFix ソーシャル・エンジニアリング戦術を用いて、Amatera Stealer と NetSupport RAT を展開するマルウェア・キャンペーンを、サイバー・セキュリティ研究者たちが発見した。今月に確認された新たな活動は、eSentire が EVALUTION という名称で追跡している。

2025年6月に発見された Amatera は、ACR (AcridRain の略) Stealer の進化型と評価されている。ACR Stealer は、2024年7月中旬に販売が停止されるまで、MaaS (malware-as-a-service) モデルで提供されていた。そして、新たな Amatera は、月額 $199 から年間 $1,499 のサブスクリプション・プランで購入できる。


カナダのサイバー・セキュリティ・ベンダーである eSentire は、「Amatera が提供する広範なデータ窃取機能は、暗号ウォレット/ブラウザ/メッセージング・アプリ/FTP クライアント/メール・サービスを標的とするものだ。さらに Amatera は、WoW64 SysCalls などの高度な回避技術を用いて、サンドボックス/アンチウイルス・ソリューション/EDR などで一般的に使用されるユーザー・モード・フック機構を回避する」と述べている。

ClickFix 攻撃の典型的なケースと同様に、Amatera が配布するフィッシング・ページで reCAPTCHA 認証チェックの完了を試みるユーザーは、Windows Run ダイアログで悪意のコマンドを実行するよう誘導される。

このコマンドにより、多段階の悪意のプロセスが開始される。具体的には、”mshta.exe” バイナリを介して起動する PowerShell スクリプトが、ファイル・ホスティング・サービスである MediaFire から .NET DLL をダウンロードする役割を担う。

このペイロードが Amatera Stealer DLL であり、C# ベースの暗号化/ローダー機能を提供する PureCrypter によりパックされている。この DLL は “MSBuild.exe” プロセスに挿入され、その後にスティーラーとして機密データを収集し、外部サーバへの接続により PowerShell コマンドを実行し、NetSupport RAT を取得/実行する。なお、この Amatera Stealer は、PureCoder という脅威アクターにより MaaS サービスとしても宣伝されている。

eSentire は、「Amatera から呼び出される PowerShell で注目すべき点は、被害者のマシンが属しているドメインと、仮想通貨ウォレットなどの高価値ファイルを確認するためのチェック機能である。どちらも見つからない場合には、NetSupport はダウンロードされない」と述べている。

以下に示すとおり、このデプロイメントの形態は、さまざまなマルウェア・ファミリを拡散する複数のフィッシング・キャンペーンと一致している。

  • 請求書を装うメールは Visual Basic Script 添付ファイルを含んでおり、PowerShell ローダーを呼び出すバッチ・スクリプトにより XWorm を配信する。
  • 侵害された Web サイトに悪意の JavaScript が挿入され、Cloudflare Turnstile チェックを模倣した ClickFix ページへと、サイト訪問者をリダイレクトする。進行中のキャンペーンである SmartApeSG (別名 HANEYMANEY/ZPHP) の一環として、NetSupport RAT を配信する。
  • 偽の Booking.com サイトを介して偽の CAPTCHA チェックを表示し、ClickFix ルアーにより悪意の PowerShell コマンドを実行する。このコマンドが Windows Run ダイアログで実行されると、認証情報窃取ツールがドロップされる。
  • 未払いの請求書や荷物の配送などに関するメッセージを偽装する、悪意の社内 Request for Quotations (RFQs) メール通知で受信者を騙し、メッセージを受信トレイに転送すると偽ってログイン認証情報を盗み取ろうとする。
  • 2024年8月に出現した Cephas というフィッシング・キットと Tycoon 2FA を用いる攻撃では、ユーザーを不正ログインページに誘導し、認証情報を窃取していた。

Barracuda は先週に公開した分析レポートで、「Cephas で注目すべき点は、独自の難読化手法を実装していることである。このキットは、ソースコード内でランダムな不可視文字を作成することでコードを難読化する。それにより、フィッシング対策スキャナを回避し、シグネチャ・ベースの YARA ルールと検知ロジックの不一致へと導く」と指摘している。

Amatera 自体は MaaS 化された典型的スティーラーですが、ClickFix を用いてユーザーに Windows Run ダイアログで PowerShell を実行させ、”mshta.exe” や “MSBuild.exe” など正規バイナリを経由して DLL を展開する構成になっているのが厄介です。さらに、暗号ウォレットやドメイン参加状況をチェックしてから NetSupport RAT をドロップするなど、価値がある環境だけを選別して踏み台化するロジックも組み込まれており、単発の不注意というより、フィッシング キットや難読化 (Cephas など) を含めた攻撃側エコシステム全体が機能しているようです。よろしければ、Phishing-as-a-Service で検索を、ご参照ください。