ACR窃密木马改头换面,更名重构后规避能力升级

Proofpoint最新报告显示,此前已知的ACR窃密木马(ACR Stealer)已更名为Amatera窃密木马重新出现,其规避检测能力得到增强,命令与控制(C2)机制也经过重构,目前仍在恶意软件即服务(MaaS,Malware-as-a-Service)生态中持续开发。

Proofpoint研究人员指出:"虽然Amatera窃密木马保留了前代的核心功能,但其开发改进程度已足以使其成为一个独特且值得关注的威胁。"

技术架构现代化升级

Amatera窃密木马与ACR窃密木马存在显著同源性,包括重叠的代码和功能。但新版恶意软件已实现全面现代化:

  • 采用C++编写并保持活跃维护
  • 提供月付99美元至年付499美元的订阅方案
  • 通过公开访问的C2控制面板运营
  • 通过Telegram提供客户支持

Proofpoint指出:"这并非该恶意软件家族首次进行品牌重塑",研究人员认为其很可能与GrMsk窃密木马存在关联。

新型传播技术剖析

Amatera通过ClearFake攻击集群实施精密的网页注入攻击,具体手法包括:

  • EtherHiding:将JavaScript托管在币安智能链合约上
  • ClickFix:利用剪贴板访问和PowerShell执行的社会工程学手段

Proofpoint解释称:"用户会看到虚假验证码...随后被诱导按下Windows+R组合键,接着执行Ctrl+V粘贴并回车,从而运行恶意PowerShell命令。"该命令会下载C#项目文件(.csproj),触发包含混淆PowerShell、绕过AMSI和ETW防护的多阶段载荷,最终将shellcode注入挂起的Windows进程。

Amatera窃密木马C2控制面板 | 图片来源:Proofpoint

核心技术规避手段

该木马采用NTSockets直接与Windows AFD驱动交互,绕过Winsock API并规避多数终端检测工具。报告指出:"直接与AFD设备交互...有效避开了几乎所有常用Windows网络API。"

Amatera不通过DNS解析域名,而是使用硬编码的Cloudflare CDN IP连接C2服务器,将恶意流量伪装成合法服务。此外,它采用WoW64系统调用执行API,规避沙箱和终端检测与响应(EDR)工具常用的用户态钩子技术。其系统调用存根会动态解析Windows API函数,获取系统服务编号(SSN),并通过WoW64Transition直接发起系统调用。Proofpoint认为:"这种API调用方式很可能是为了规避用户态钩子技术。"

模块化数据窃取能力

Amatera的核心目标仍是窃取数据,但采用更精准的模块化方式:

  • 使用NtCreateFile和NtQueryDirectoryFile实施定向文件窃取
  • 窃取浏览器数据(Cookie、历史记录)、密码管理器和加密货币钱包
  • 注入shellcode绕过Chrome的应用绑定加密保护
  • 收集即时通讯软件、邮件客户端、SSH/FTP工具及浏览器扩展数据

该恶意软件还支持通过ShellExecuteA或PowerShell的Invoke-Expression执行次级载荷,具体取决于载荷格式。

持续演变的威胁

Proofpoint强调Amatera正处于活跃开发阶段,新样本显示其已支持基于HTTPS的C2通道,混淆技术和载荷投递隐蔽性也有所提升。报告总结称:"威胁行为者正通过巧妙的攻击链使用Amatera窃密木马,同时开发者持续改进其规避检测的能力。"

相关推荐
小李@Free2FA1 小时前
跨境卖家多平台二次验证统一管理
安全·外贸·2fa·二次验证
fei_sun2 小时前
开放最短路径优先OSPF----基于链路状态
网络
精明的身影2 小时前
网络计划WebApp求解:融合Python与AI决策的项目管理系统
网络·python·web app
云祺vinchin2 小时前
混合云异构环境下的灾备实战:VMware+Hyper-V统一保护方案解析
安全·容灾备份·容灾备份体系
Let's Chat Coding3 小时前
对称密钥认证:主机和设备共享同一把密钥
运维·服务器·网络
一楼的猫5 小时前
AI写作检测机制技术深度解析:200+维度检测、叙事指纹与网文AI辅助怎么过审
人工智能·学习·安全·chatgpt·ai写作
技术不好的崎鸣同学6 小时前
[极客大挑战 2019]EasySQL 思路及解法
网络·安全·web安全
Web极客码6 小时前
跨国网络抖动下的 AI 爬虫流调优:我如何用 Claude 打造“智能退避”资讯清洗管道
网络·人工智能·爬虫
Kyrie6786 小时前
Januscape:潜伏 16 年的 KVM 虚拟机逃逸漏洞
安全·kvm
念何架构之路6 小时前
moby-http-api-server
网络·网络协议·http