tradingkey.logo
tradingkey.logo
ค้นหา

Hackers target crypto wallets, browser data in fake reCAPTCHA pop-up campaign

Cryptopolitan18 พ.ย. 2025 เวลา 11:33
facebooktwitterlinkedin
ดูความคิดเห็นทั้งหมด0

Cybersecurity group eSentire has uncovered the use of fake CAPTCHA-style pop-ups to trick victims into deploying credential-harvesting malware, Amatera Stealer, and NETSupport RAT by abusing a method known as ClickFix.

eSentire’s Threat Response Unit (TRU) has been tracking an escalation in campaigns abusing ClickFix to gain initial access to targeted systems in November. According to the TRU, threat actors use the method to socially engineer victims into running malicious commands manually through the Windows Run prompt. 

Once executed, those commands launch an infection chain that ends with the deployment of Amatera Stealer and NetSupport RAT, both legitimate remote monitoring tools that have been repurposed by cybercriminals for unauthorized remote access.

ClickFix campaign uses reCAPTCHA to sneak malware in

Per eSentire’s research published last Thursday, hackers are luring victims using fake websites and pop-ups that look like “security checks,” including fraudulent reCAPTCHA verification boxes and counterfeit Cloudflare Turnstile pages. 

The deceptive interfaces prompt users to “fix” a supposed issue, with the instructions causing them to execute harmful commands without seeing the risks. Once the initial command is run, Amatera Stealer is delivered first, followed by the installation of NetSupport Manager, which allows hackers to monitor and control the compromised machine as though they were physically present.

Amatera Stealer is not an entirely new threat but the latest evolution of ACR Stealer, also known as AcridRain. The earlier version first appeared as a malware-as-a-service product on hacker forums in 2024, which several users deployed through subscription packages.

Sales of ACR were paused in mid-2024 when its developer, known online as SheldIO, sold the malware’s source code. Despite the sale announcement, the group said it was “not the end” of its development. Researchers now believe Amatera is the direct successor to ACR, rebuilt with more capabilities and new evasion techniques.

Amatera, spotted by security auditing firm Proofpoint in June, is available on a subscription basis from $199 per month to $1,499 annually.

“Amatera provides threat actors with extensive data exfiltration capabilities targeting crypto-wallets, browsers, messaging applications, FTP clients, and email services. It employs advanced evasion strategies like WoW64 SysCalls to circumvent user-mode hooking mechanisms used by sandboxes, Anti-Virus solutions, and EDR products,” eSentire said.

The malware is written in C and is capable of harvesting saved passwords, card details, browsing histories, and files from browsers like Chrome, Brave, Edge, Opera, Firefox, and specialized platforms such as Tor Browser and Thunderbird. 

Multi-stage Windows PowerShell loaders hiding malware

According to eSentire’s threat analysis, the Amatera’s infection process is built on several layers of obfuscated PowerShell commands. 

TRU researchers saw one phase decrypting subsequent payloads using an XOR process on the string “AMSI_RESULT_NOT_DETECTED,” a term associated with Microsoft’s Anti-Malware Scan Interface. The loader’s developer could have selected the phrase intentionally to confuse researchers conducting dynamic analysis.

While Amatera is the most common payload delivered in these campaigns, eSentire also documented cases where the same loader was used to deploy other infostealers, including Lumma and Vidar. Some samples lacked configuration parameters needed to run multi-stage loaders, in which hackers chose to deploy NetSupport Manager directly instead.

eSentire and other security firms have documented email campaigns distributing Visual Basic Script files disguised as invoices. When opened, the files executed batch scripts that initiated PowerShell loaders delivering XWorm.

Other campaigns involved compromised websites that redirected visitors to fake Cloudflare verification pages, which mimic ClickFix prompts. This activity has been tied to an operation known by names including SmartApeSG, HANEYMANEY, and ZPHP, all coming with NetSupport RAT as their final payload.

Hackers had built fraudulent Booking.com websites that hosted counterfeit CAPTCHA checks, instructing users to open the Windows Run dialog and execute a command, and directly installing a credential-stealing script onto infected systems.

Some of the phishing campaigns connected to these malware deliveries are using a new phishing kit known as Cephas. Cephas, according to cybersecurity solutions firm Barracuda, uses an advanced obfuscation method that inserts invisible characters into the source code of phishing pages, difficult for automated scanners to detect.

“The kit obscures its code by creating random invisible characters within the source code that help it evade anti-phishing scanners and obstruct signature-based YARA rules from matching the exact phishing methods,” Barracuda wrote in its analysis last week.

Get seen where it counts. Advertise in Cryptopolitan Research and reach crypto’s sharpest investors and builders.

ข้อจำกัดความรับผิดชอบ: ข้อมูลที่ให้ไว้บนเว็บไซต์นี้มีไว้เพื่อวัตถุประสงค์ทางการศึกษาและให้ข้อมูลเท่านั้น และไม่ควรถือเป็นคำแนะนำทางการเงินหรือการลงทุน

ความคิดเห็น (0)

คลิกปุ่ม $ ป้อนสัญลักษณ์ และเลือกเพื่อเชื่อมโยงหุ้น, กองทุน ETF หรือสัญลักษณ์หลักทรัพย์อื่น ๆ

0/500
แนวทางการแสดงความคิดเห็น
กำลังโหลด...

บทความแนะนำ

หุ้นสหรัฐฯ ปิดตลาด: ดัชนี Dow Jones ร่วงลง 1.09%, Nasdaq ปรับตัวขึ้นสวนทางตลาด, ดัชนี Philadelphia Semiconductor Index บวกมากกว่า 2%; ทรัมป์ประกาศยุติข้อตกลงหยุดยิงระหว่างสหรัฐฯ-อิหร่าน, เจ้าหน้าที่เฟดบางรายเห็นความจำเป็นในการปรับขึ้นอัตราดอกเบี้ย.

TradingKey - โดนัลด์ ทรัมป์ ได้แถลงอย่างเป็นทางการว่าเขาไม่มีความตั้งใจที่จะรื้อฟื้นการเจรจาข้อตกลงใดๆ กับอิหร่าน ซึ่งส่งผลให้บรรยากาศการซื้อขายในตลาดซบเซาลง ดัชนีหุ้นหลักทั้งสามของสหรัฐฯ เคลื่อนไหวสวนทางกัน โดยดัชนีเฉลี่ยอุตสาหกรรมดาวโจนส์ปรับตัวลดลง ดัชนี Nasdaq Composite ปรับตัวเพิ่มขึ้น หุ้นกลุ่มบลูชิปปรับตัวลดลง ขณะที่หุ้นกลุ่มชิปหน่วยความจำฟื้นตัวขึ้น เมื่อปิดตลาด ดัชนีเฉลี่ยอุตสาหกรรมดาวโจนส์ลดลง 1.09% ปิดที่ 52,348.39 จุด ดัชนี Nasdaq Composite เพิ่มขึ้น 0.20% ปิดที่ 25,870.65 จุด และดัชนี S&P 500 ลดลง 0.28% ปิดที่ 7,482.71 จุด
ข่าวสารที่สูงสุด
link
รายงานการประชุม FOMC: เฟดเปลี่ยนผ่านสู่ท่าทีที่เป็นกลางแบบรอดูสถานการณ์, เจ้าหน้าที่บางส่วนเห็นควรว่าจำเป็นต้องขึ้นอัตราดอกเบี้ย, ความเสี่ยงขาขึ้นของเงินเฟ้อกลายเป็นความขัดแย้งหลัก
หุ้นญี่ปุ่นและเกาหลีใต้ร่วงดิ่ง: Samsung และ SK Hynix ร่วง 6% นำการปรับตัวลดลง, SoftBank และ Kioxia ลดลงเล็กน้อย
คาดการณ์ราคาหุ้น Samsung: หุ้นร่วงลงกว่า 10% สองวันติดต่อกัน การปรับฐานระยะสั้นเกือบ 20% อาจอยู่ข้างหน้า
ตลาดญี่ปุ่นและเกาหลีใต้ดิ่งลงอย่างรุนแรงเมื่อเปิดตลาด: นิกเกอิและคอสปีเผชิญแรงเทขายอย่างตื่นตระหนกอย่างต่อเนื่อง, ซัมซุงและเอสเค ไฮนิกซ์ ร่วงลงอย่างหนัก, คิโอเซีย สวนกระแสปรับตัวสูงขึ้น.
หุ้นสหรัฐฯ ปิดตลาด: ดัชนี Dow Jones ร่วงลง 1.09%, Nasdaq ปรับตัวขึ้นสวนทางตลาด, ดัชนี Philadelphia Semiconductor Index บวกมากกว่า 2%; ทรัมป์ประกาศยุติข้อตกลงหยุดยิงระหว่างสหรัฐฯ-อิหร่าน, เจ้าหน้าที่เฟดบางรายเห็นความจำเป็นในการปรับขึ้นอัตราดอกเบี้ย.
tradingkey.logo
* ข้อมูลอ้างอิง การวิเคราะห์ และกลยุทธ์การเทรดถูกจัดทำโดยผู้ให้บริการของบุคคลที่สาม Trading Central และมุมมองดังกล่าวมีพื้นฐานมาจากการประเมินและการตัดสินของนักวิเคราะห์ โดยไม่คิดถึงวัตถุประสงค์การลงทุนและสถานการณ์ทางการเงินของนักลงทุน
คำเตือนความเสี่ยง: เว็บไซต์และแอปพลิเคชันมือถือของเราให้ข้อมูลทั่วไปเกี่ยวกับผลิตภัณฑ์การลงทุนบางประเภทเท่านั้น Finsights ไม่ได้ให้คำแนะนำทางการเงินหรือการแนะนำผลิตภัณฑ์การลงทุนใด ๆ และการให้ข้อมูลดังกล่าวไม่ควรถูกตีความว่าเป็นการให้คำแนะนำทางการเงินหรือการแนะนำโดย Finsights
ผลิตภัณฑ์การลงทุนมีความเสี่ยงด้านการลงทุนอย่างมาก รวมถึงการสูญเสียเงินต้นที่ลงทุนไป และอาจไม่เหมาะสำหรับทุกคน ผลการดำเนินงานในอดีตของผลิตภัณฑ์การลงทุนไม่ได้บ่งบอกถึงผลการดำเนินงานในอนาคต
Finsights อาจอนุญาตให้ผู้ลงโฆษณาหรือพันธมิตรบุคคลที่สามวางหรือส่งโฆษณาบนเว็บไซต์หรือแอปพลิเคชันมือถือของเราหรือส่วนใดส่วนหนึ่งของเว็บไซต์หรือแอปพลิเคชันมือถือ และอาจได้รับค่าตอบแทนจากการที่คุณมีปฏิสัมพันธ์กับโฆษณา
© ลิขสิทธิ์: FINSIGHTS MEDIA PTE. LTD. สงวนลิขสิทธิ์ทุกประการ