Proofpoint最新報告顯示，此前已知的ACR竊密木馬（ACR Stealer）已更名為Amatera竊密木馬重新出現(xiàn)，其規(guī)避檢測能力得到增強，命令與控制（C2）機制也經(jīng)過重構，目前仍在惡意軟件即服務（MaaS，Malware-as-a-Service）生態(tài)中持續(xù)開發(fā)。

Proofpoint研究人員指出："雖然Amatera竊密木馬保留了前代的核心功能，但其開發(fā)改進程度已足以使其成為一個獨特且值得關注的威脅。"

技術架構現(xiàn)代化升級

Amatera竊密木馬與ACR竊密木馬存在顯著同源性，包括重疊的代碼和功能。但新版惡意軟件已實現(xiàn)全面現(xiàn)代化：

• 采用C++編寫并保持活躍維護
• 提供月付99美元至年付499美元的訂閱方案
• 通過公開訪問的C2控制面板運營
• 通過Telegram提供客戶支持

Proofpoint指出："這并非該惡意軟件家族首次進行品牌重塑"，研究人員認為其很可能與GrMsk竊密木馬存在關聯(lián)。

新型傳播技術剖析

Amatera通過ClearFake攻擊集群實施精密的網(wǎng)頁注入攻擊，具體手法包括：

• EtherHiding：將JavaScript托管在幣安智能鏈合約上
• ClickFix：利用剪貼板訪問和PowerShell執(zhí)行的社會工程學手段

Proofpoint解釋稱："用戶會看到虛假驗證碼...隨后被誘導按下Windows+R組合鍵，接著執(zhí)行Ctrl+V粘貼并回車，從而運行惡意PowerShell命令。"該命令會下載C#項目文件(.csproj)，觸發(fā)包含混淆PowerShell、繞過AMSI和ETW防護的多階段載荷，最終將shellcode注入掛起的Windows進程。

Amatera竊密木馬C2控制面板 | 圖片來源：Proofpoint

核心技術規(guī)避手段

該木馬采用NTSockets直接與Windows AFD驅(qū)動交互，繞過Winsock API并規(guī)避多數(shù)終端檢測工具。報告指出："直接與AFD設備交互...有效避開了幾乎所有常用Windows網(wǎng)絡API。"

Amatera不通過DNS解析域名，而是使用硬編碼的Cloudflare CDN IP連接C2服務器，將惡意流量偽裝成合法服務。此外，它采用WoW64系統(tǒng)調(diào)用執(zhí)行API，規(guī)避沙箱和終端檢測與響應（EDR）工具常用的用戶態(tài)鉤子技術。其系統(tǒng)調(diào)用存根會動態(tài)解析Windows API函數(shù)，獲取系統(tǒng)服務編號（SSN），并通過WoW64Transition直接發(fā)起系統(tǒng)調(diào)用。Proofpoint認為："這種API調(diào)用方式很可能是為了規(guī)避用戶態(tài)鉤子技術。"

模塊化數(shù)據(jù)竊取能力

Amatera的核心目標仍是竊取數(shù)據(jù)，但采用更精準的模塊化方式：

• 使用NtCreateFile和NtQueryDirectoryFile實施定向文件竊取
• 竊取瀏覽器數(shù)據(jù)（Cookie、歷史記錄）、密碼管理器和加密貨幣錢包
• 注入shellcode繞過Chrome的應用綁定加密保護
• 收集即時通訊軟件、郵件客戶端、SSH/FTP工具及瀏覽器擴展數(shù)據(jù)

該惡意軟件還支持通過ShellExecuteA或PowerShell的Invoke-Expression執(zhí)行次級載荷，具體取決于載荷格式。

持續(xù)演變的威脅

Proofpoint強調(diào)Amatera正處于活躍開發(fā)階段，新樣本顯示其已支持基于HTTPS的C2通道，混淆技術和載荷投遞隱蔽性也有所提升。報告總結稱："威脅行為者正通過巧妙的攻擊鏈使用Amatera竊密木馬，同時開發(fā)者持續(xù)改進其規(guī)避檢測的能力。"