Amatera 竊賊：沉默資料竊賊的秘密

網路威脅很少會發出明顯的警訊。 Amatera Stealer就是一個例子，它是一種隱密的資訊收集惡意軟體，旨在突破數位防禦，悄無聲息地竊取敏感資料。雖然它避免使用引人注目的手段，但它的危險之處在於其悄無聲息的效率——因此，了解它的運作方式和攻擊目標就顯得尤為重要。

Amatera Stealer 是什麼？

Amatera 是一款用C++開發的惡意程序，其原型是早期的竊取程式 ACR。它屬於資訊竊取程序（或稱為“資訊竊取程序”）類別。這類威脅旨在滲透系統，並秘密竊取個人、財務或專業資料。與勒索軟體透過索取資訊來表明其存在不同，Amatera 在後台悄悄運行——其目標是在不被發現的情況下收集盡可能多的數據。

暗中運作的業務：惡意軟體即服務

Amatera 背後的網路犯罪分子將其作為惡意軟體即服務(MaaS) 出售，允許其他威脅行為者訂閱並使用該工具進行自己的攻擊活動。其定價結構從每月 199 美元到全年近 1,500 美元不等，這清楚地表明了地下惡意軟體市場的商業化程度。對於買家來說，它是數位盜竊的即插即用解決方案；對於受害者來說，它是一個能夠造成實際傷害的隱形對手。

Amatera 竊取者的目標

Amatera 專門用於從受感染系統中竊取各種敏感資訊。其主要目標包括與密碼管理器和加密貨幣錢包相關的瀏覽器擴充功能——這些工具通常掌握著個人帳戶和數位財務的金鑰。它還會攻擊與電子郵件平台、FTP/SSH 工具以及WhatsApp 、Signal 和基於 XMPP 的用戶端等訊息應用程式相關的檔案。

此外，Amatera 還會存取瀏覽器數據，例如已儲存的憑證、Cookie、自動填入資訊和瀏覽記錄。它透過將程式碼注入瀏覽器本身，成功繞過內建的瀏覽器保護機制（尤其是 Chrome 瀏覽器）。這種操作會導致瀏覽器以某種方式處理加密文件，使其面臨被盜的風險。

深入了解 Amatera 如何竊取數據

Amatera 收集資訊的方法不只一種。它會掃描系統存儲，查找特定的文件路徑、擴展名和關鍵字，所有這些都可能暗示著有價值的數據。這包括加密貨幣桌面錢包的文件、已保存的登入資料以及軟體應用程式留下的其他數位足跡。

除了收集資料之外，該竊取程式還具有下載並執行其他檔案的危險能力。無論是執行檔 (.exe)、腳本（.cmd 或 .ps1），還是動態連結程式庫 (.dll)，Amatera 都可以從網路上提取這些元件並在使用者不知情的情況下執行。這意味著，一旦它進入系統，就可能成為更高級攻擊或其他惡意軟體的啟動平台。

Amatera 的目標：從被盜資料中獲利

Amatera 背後的動機是經濟利益。它收集的資訊——登入憑證、私人訊息、已保存的密碼、加密貨幣金鑰——可以在暗網市場上出售，用於身分盜竊，或在未來的攻擊中被利用。有些攻擊者可能會自己使用被盜數據，而有些攻擊者則將其出售給出價最高的人以牟利。這兩種情況的目標都很明確：未經授權存取寶貴資源，並將其轉化為利潤。

傳播方式：巧妙的策略與常見的陷阱

據觀察，Amatera 透過ClearFake進行傳播。 ClearFake 是一種惡意攻擊活動，會入侵真實網站並載入有害腳本。這些腳本通常會向使用者提供虛假的驗證碼 (CAPTCHA) 驗證，誘騙使用者執行實際下載惡意軟體的步驟。 Amatera 的常用伎倆是誘導使用者開啟 Windows 的「執行」指令－此舉會透過一種名為 ClickFix 的方法啟動感染過程。

在某些情況下，Amatera 也會透過偽造的軟體安裝程式或破解的應用程式傳播。尋求付費工具免費版本的用戶尤其容易受到攻擊，因為這些下載內容通常會成為 Amatera 等惡意軟體的掩護。一旦啟動，這些假冒軟體就會悄悄地將竊取程式植入系統，啟動資料擷取過程，幾乎不會出現任何異常。

Amatera 為何重要

Amatera 的出現體現了現代網路犯罪日益專業化和複雜化。憑藉著使用者友善的平台、訂閱模式和持續更新，像 Amatera 這樣的資訊竊取工具如今已為各類攻擊者所用——從經驗豐富的駭客到那些只想參與惡意行動的低技能罪犯。

真正令人擔憂的是其收集資訊的範圍，以及它對個人或組織隱私的危害程度。從個人帳戶和財務資訊到專業工具和安全通信，幾乎數位生活的方方面面都可能成為目標。

底線

了解 Amatera 等威脅的運作方式是降低風險的第一步。網路犯罪分子不斷投資於新的欺騙和傳播方法，用戶必須對可疑活動的跡象保持警惕。僅從可信任來源下載軟體、保持系統更新以及對未知連結或提示保持謹慎，這些都有助於獲得更安全的數位體驗。

天馬特拉或許悄無聲息地運作，但影響卻可能巨大而持久。防範此類現代威脅的最佳方法是提高警惕，而非恐懼。