Обнаруженная в начале 2025 года, эта программа представляет собой качественный скачок в развитии троянов-стилеров, объединив в себе проверенные механизмы с новыми продвинутыми приёмами сокрытия и обхода защит, поясняет Securitylab.
По данным Proofpoint, Amatera Stealer функционирует по модели MaaS и предоставляется по подписке: от $199 в месяц до $1499 в год. Появление трояна совпало с прекращением продаж ACR Stealer летом 2024 года и нарушением работы другого популярного вредоноса — Lumma Stealer. Это делает Amatera потенциальным лидером среди подобных решений на чёрном рынке.
Главный способ распространения — через кампании web-инъекций, причём в первую очередь используется группа под названием ClearFake. Злоумышленники заражают легитимные сайты вредоносным HTML и JavaScript-кодом, используя такие методы, как EtherHiding — технику размещения вредоносных скриптов в блокчейне Binance Smart Chain.
Дополнительно применяются приёмы социальной инженерии вроде ClickFix: жертву убеждают ввести команду в окно «Выполнить» (Win+R), чтобы активировать вредоносный PowerShell-скрипт. Таким образом запускается многоступенчатая цепочка загрузчиков, заканчивающаяся внедрением Amatera Stealer через shellcode-инъекцию.
Этот троян также распространяется через поддельные программы, кряки и фейковые установщики, демонстрируя высокий уровень адаптивности и ориентацию на широкую аудиторию.
Внутри системы Amatera использует нестандартные механизмы взаимодействия с командным сервером. Вместо традиционных API Windows применяется библиотека NTSockets, что позволяет обходить стандартные средства сетевого мониторинга. Кроме того, используются WoW64 Syscalls — системные вызовы, исполняемые через обход защиты пользовательского режима, что снижает вероятность перехвата действий средствами EDR.
Для сокрытия сетевой активности троян подключается к серверам управления через жёстко прописанные IP-адреса, маскируясь под трафик облачных CDN-сетей, таких как Cloudflare. Это позволяет ему обходить DNS-фильтры и создавать видимость легитимности.
Amatera Stealer заточен под сбор конфиденциальной информации: он крадёт данные из браузеров, криптокошельков, почтовых клиентов и мессенджеров. Также поддерживается загрузка дополнительных вредоносных компонентов по команде с сервера. Настройки C2 передаются в виде JSON-файлов по HTTP, что позволяет гибко управлять поведением трояна — от обновления скриптов до развёртывания нового вредоносного ПО.