Mastodawn

📢 GoFlateLoader : un loader Go répandu livrant plusieurs infostealers via overlay PE gonflé
📝 📅 **Source** : Gen Digital Blog (gendigital.com), publié le 10 juin 2026, par Vojtěch Krejsa, T...
📖 cyberveille : https://cyberveille.ch/posts/2026-06-13-goflateloader-un-loader-go-repandu-livrant-plusieurs-infostealers-via-overlay-pe-gonfle/
🌐 source : https://www.gendigital.com/blog/insights/research/goflateloader-delivers-multiple-infostealers
#Amatera #GoFlateLoader #Cyberveille

GoFlateLoader : un loader Go répandu livrant plusieurs infostealers via overlay PE gonflé

📅 Source : Gen Digital Blog (gendigital.com), publié le 10 juin 2026, par Vojtěch Krejsa, Threat Researcher at Gen. Contexte GoFlateLoader est un loader écrit en Go (Golang), suivi activement par Gen Threat Labs depuis début avril 2026. Malgré une conception technique simple, il est largement distribué : plus de 33 000 utilisateurs uniques ont été protégés depuis avril 2026, principalement au Brésil, Inde, Argentine, Mexique, Turquie et Espagne. Mécanisme technique Le loader réalise un chargement manuel de PE en mémoire selon le flux suivant :

CyberVeille

Analyst207 May 19

Microsoft Utility MSHTA Fuels Malware Surge via Lumma Stealer Campaigns

Malware campaigns are on the rise, fueled by the Microsoft Utility MSHTA, which is being exploited to spread info stealers like Lumma Stealer and Amatera. This sneaky tactic is just the latest example of how cybercriminals are abusing a long-standing Windows feature to wreak havoc.

https://osintsights.com/microsoft-utility-mshta-fuels-malware-surge-via-lumma-stealer-campaigns?utm_source=mastodon&utm_medium=social

#LummaStealer #Mshta #MalwareLoader #InfoStealer #Amatera

Microsoft Utility MSHTA Fuels Malware Surge via Lumma Stealer Campaigns

Learn how Microsoft Utility MSHTA fuels malware surges via Lumma Stealer campaigns and protect your Windows desktop from abuse, read the expert analysis now.

OSINTSights

CyberVeille.ch Mar 30

📢 Campagnes malveillantes via Google Ads diffusent AMOS et Amatera déguisés en outils IA
📝 ## 🔍 Contexte

Source : Kaspersky Blog (kaspersky.fr), publié le 29 mars 2026.
📖 cyberveille : https://cyberveille.ch/posts/2026-03-29-campagnes-malveillantes-via-google-ads-diffusent-amos-et-amatera-deguises-en-outils-ia/
🌐 source : https://www.kaspersky.fr/blog/fake-ai-agents-infostealers/23740/
#AMOS #Amatera #Cyberveille

Campagnes malveillantes via Google Ads diffusent AMOS et Amatera déguisés en outils IA

🔍 Contexte Source : Kaspersky Blog (kaspersky.fr), publié le 29 mars 2026. Cet article présente les résultats d’une investigation approfondie menée par Kaspersky sur plusieurs campagnes malveillantes exploitant la popularité des outils d’intelligence artificielle. 🎯 Description de l’attaque Des acteurs malveillants diffusent des infostealers en se faisant passer pour des outils d’IA populaires via des annonces Google Ads sponsorisées. Les leurres utilisés incluent : AI Doubao (application chinoise populaire) OpenClaw (assistant IA viral) Claude Code (assistant de programmation d’Anthropic) Lorsqu’un utilisateur clique sur l’annonce malveillante, il est redirigé vers un faux site de documentation hébergé sur Squarespace (plateforme légitime), ce qui permet de contourner les filtres anti-phishing.

CyberVeille

CyberVeille.ch Mar 13

📢 Campagne InstallFix: des pages d’installation clonées de Claude Code diffusent l’infostealer Amatera
📝 Selon Malwarebytes, des acteurs malveillants mène...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-12-campagne-installfix-des-pages-dinstallation-clonees-de-claude-code-diffusent-linfostealer-amatera/
🌐 source : https://www.malwarebytes.com/blog/news/2026/03/fake-claude-code-install-pages-hit-windows-and-mac-users-with-infostealers
#Amatera #Claude_Code #Cyberveille

Campagne InstallFix: des pages d’installation clonées de Claude Code diffusent l’infostealer Amatera

Selon Malwarebytes, des acteurs malveillants mènent une campagne « InstallFix » en clonant des pages d’installation de Claude Code et en détournant les commandes d’installation en un clic pour livrer un infostealer. Les attaquants reproduisent à l’identique des pages de documentation/téléchargement (logo, sidebar, texte, bouton « copier ») et n’en modifient que la commande d’installation afin qu’elle pointe vers leur domaine. Cette approche, similaire aux attaques ClickFix, abuse de l’habitude d’exécuter des « one‑liners » (ex. curl | bash) qui s’exécutent avec les permissions de l’utilisateur, parfois administrateur. Le payload principal observé est l’infostealer Amatera, ciblant mots de passe enregistrés, cookies, jetons de session, données d’autoremplissage et informations système, avec des rapports signalant aussi un intérêt pour des portefeuilles crypto et comptes à forte valeur.

CyberVeille

Threat Insight Jun 18, 2025

In a new blog, Proofpoint threat research engineers disclosed their discovery of Amatera Stealer, a newly rebranded and upgraded malware-as-a-service (MaaS) version of the ACR Stealer.

Read the blog: https://brnw.ch/21wTvkx

While maintaining its roots in ACR Stealer, the latest variant, #Amatera, introduces new features—including sophisticated delivery mechanisms, anti-analysis defenses, and a revamped control structure—making it stealthier and dangerous.

See the Threat Research Engineering blog for IOCs and Emerging Threat signatures.

#securityengineering #detectionengineering #securitycontrols

Amatera Stealer: Rebranded ACR Stealer With Improved Evasion, Sophistication | Proofpoint US

Key takeaways Proofpoint identified a new, rebranded stealer based on ACR Stealer called Amatera Stealer. It is delivered via web injects featuring sophisticated attack

Proofpoint