ACR 窃密木马改头换面，更名重构后规避能力升级

Proofpoint最新报告显示 
，密木马改面更名重此前已知的头换ACR窃密木马（ACR Stealer）已更名为Amatera窃密木马重新出现 ，其规避检测能力得到增强，构后规避命令与控制（C2）机制也经过重构，升级目前仍在恶意软件即服务（MaaS ，密木马改面更名重Malware-as-a-Service）生态中持续开发。头换

Proofpoint研究人员指出
："虽然Amatera窃密木马保留了前代的构后规避核心功能
，但其开发改进程度已足以使其成为一个独特且值得关注的升级威胁
。"

技术架构现代化升级

Amatera窃密木马与ACR窃密木马存在显著同源性 
，源码库密木马改面更名重包括重叠的头换代码和功能。但新版恶意软件已实现全面现代化：

采用C++编写并保持活跃维护提供月付99美元至年付499美元的构后规避订阅方案通过公开访问的C2控制面板运营通过Telegram提供客户支持

Proofpoint指出 ："这并非该恶意软件家族首次进行品牌重塑"
，研究人员认为其很可能与GrMsk窃密木马存在关联 。升级

新型传播技术剖析

Amatera通过ClearFake攻击集群实施精密的密木马改面更名重网页注入攻击 ，具体手法包括：

EtherHiding：将JavaScript托管在币安智能链合约上ClickFix：利用剪贴板访问和PowerShell执行的头换社会工程学手段

Proofpoint解释称："用户会看到虚假验证码...随后被诱导按下Windows+R组合键，接着执行Ctrl+V粘贴并回车
，模板下载构后规避从而运行恶意PowerShell命令 。"该命令会下载C#项目文件(.csproj) ，触发包含混淆PowerShell
、绕过AMSI和ETW防护的多阶段载荷
，最终将shellcode注入挂起的Windows进程 。

Amatera窃密木马C2控制面板 | 图片来源：Proofpoint

核心技术规避手段

该木马采用NTSockets直接与Windows AFD驱动交互，绕过Winsock API并规避多数终端检测工具。报告指出 ："直接与AFD设备交互...有效避开了几乎所有常用Windows网络API。"

Amatera不通过DNS解析域名
，云计算而是使用硬编码的Cloudflare CDN IP连接C2服务器，将恶意流量伪装成合法服务。此外
 ，它采用WoW64系统调用执行API，规避沙箱和终端检测与响应（EDR）工具常用的用户态钩子技术。其系统调用存根会动态解析Windows API函数 ，获取系统服务编号（SSN） ，并通过WoW64Transition直接发起系统调用 。香港云服务器Proofpoint认为："这种API调用方式很可能是为了规避用户态钩子技术 。"

模块化数据窃取能力

Amatera的核心目标仍是窃取数据 ，但采用更精准的模块化方式：

使用NtCreateFile和NtQueryDirectoryFile实施定向文件窃取窃取浏览器数据（Cookie 、历史记录）
、密码管理器和加密货币钱包注入shellcode绕过Chrome的应用绑定加密保护收集即时通讯软件、邮件客户端
、源码下载SSH/FTP工具及浏览器扩展数据

该恶意软件还支持通过ShellExecuteA或PowerShell的Invoke-Expression执行次级载荷 ，具体取决于载荷格式。

持续演变的威胁

Proofpoint强调Amatera正处于活跃开发阶段，新样本显示其已支持基于HTTPS的C2通道，混淆技术和载荷投递隐蔽性也有所提升。报告总结称
："威胁行为者正通过巧妙的攻击链使用Amatera窃密木马
，同时开发者持续改进其规避检测的高防服务器能力。"