Se ha observado una nueva campaña que se hace pasar por agencias gubernamentales ucranianas en ataques de phishing para entregar Condenadorque luego se usa para caer Amatera robador y Pureminero.
«Los correos electrónicos de phishing contienen archivos de gráficos vectoriales escalables malicioso (SVG) diseñados para engañar a los destinatarios para que abran archivos adjuntos dañinos», investigador de Fortinet Fortiguard Labs Yurren Wan dicho En un informe compartido con The Hacker News.
En las cadenas de ataque documentadas por la compañía de seguridad cibernética, los archivos SVG se utilizan para iniciar la descarga de un archivo ZIP protegido con contraseña, que contiene un archivo HTML de ayuda (CHM) compilado. El archivo CHM, cuando se lanza, activa una cadena de eventos que culminan en la implementación del contexto. Los mensajes de correo electrónico afirman ser un aviso de la Policía Nacional de Ucrania.
Conteunt cargador, que era el tema de un análisis reciente Por empuje silencioso, se ha encontrado que elimina varias cargas útiles como Cobalt Strike, AdaptIXC2 y PureHVNC RAT. En esta cadena de ataque, sin embargo, sirve como un vector de distribución para Amatera robadoruna variante de Acrstealer, y Pureminer, un sigiloso minero de criptomonedas .NET.
Vale la pena señalar que tanto PureHVNC Rat como Pureminer son parte de una suite de malware más amplia desarrollada por un actor de amenaza conocido como Purecoder. Algunos de los otros productos del mismo autor incluyen –
- Purecrypter, un crypter para nativo y .net
- Purerat (también conocido como Resolverrat), un sucesor de PureHvnc Rat
- Purelogs, un robador de información y maderero
- Blueloader, un malware que puede actuar como una botnet descargando y ejecutando cargas útiles de forma remota
- Pureclipper, un malware Clipper que sustituye las direcciones de criptomoneda copiadas en el portapapeles con direcciones de billetera controladas por el atacante para redirigir las transacciones y robar fondos
Según Fortinet, Amatera Stealer y Pureminer se implementan como amenazas sin archivo, con el malware «ejecutado a través de la compilación de .NET antes de tiempo (AOT) con el proceso de hueco o cargado directamente en la memoria utilizando PythonMemoryModule».
Amatera Stealer, una vez lanzado, reúne la información del sistema, recopila archivos que coinciden con una lista predefinida de extensiones, y recolecta datos de navegadores basados en Chromium y Gecko, así como aplicaciones como Steam, Telegram, Filezilla y varias billeteras de criptomonedas.
«Esta campaña de phishing demuestra cómo un archivo SVG malicioso puede actuar como un sustituto de HTML para iniciar una cadena de infecciones», dijo Fortinet. En este caso, los atacantes atacaron a entidades del gobierno ucraniano con correos electrónicos que contienen archivos adjuntos SVG. El código HTML Embedido de SVG redirigió a las víctimas a un sitio de descarga «.
El desarrollo se produce cuando Huntress descubrió un probable grupo de amenazas de habla vietnamita que usa correos electrónicos de phishing con temas de aviso de infracción de derechos Robador de pxaque luego evoluciona en una secuencia de infección de múltiples capas que cae Purerat.
«Esta campaña demuestra una progresión clara y deliberada, comenzando con un simple señuelo de phishing y aumentando a través de capas de cargadores en memoria, evasión de defensa y robo de credenciales», el investigador de seguridad James Northey dicho. «La carga útil final, Purerat, representa la culminación de este esfuerzo: una puerta trasera modular y desarrollada profesionalmente que le da al atacante el control completo sobre un huésped comprometido».
«Su progresión de la ofuscación de aficionados de sus cargas de Python a abusar de malware de productos básicos como PureRat muestra no solo la persistencia, sino también las características de un operador serio y madurado».
Fuente