Se ha observado una nueva campaña que se hace suceder por agencias gubernamentales ucranianas en ataques de phishing para entregar Condenadorque luego se usa para caer Amatera robador y Pureminero.
“Los correos electrónicos de phishing contienen archivos de gráficos vectoriales escalables (SVG) diseñados para engañar a los destinatarios para que abran archivos adjuntos dañinos”, dijo el investigador de Fortinet Fortiguard Labs, Yurren Wan, en un documentación compartido con Hacker News.
En las cadenas de ataque documentadas por la compañía de seguridad cibernética, los archivos SVG se utilizan para iniciar la descarga de un archivo ZIP protegido con contraseña, que contiene un archivo HTML de ayuda (CHM) compilado. El archivo CHM, cuando se alabarda, activa una esclavitud de eventos que culminan en la implementación del contexto. Los mensajes de correo electrónico afirman ser un aviso de la Policía Franquista de Ucrania.
Se ha enfrentado que el contexto, que fue objeto de un descomposición flamante por un empuje silencioso, elimina varias cargas aperos como Cobalt Strike, AdaptIXC2 y PureHVNC RAT. Sin retención, en esta esclavitud de ataque, sirve como un vector de distribución para Amatera Stealer, una reforma de Acrstealer, y Pureminer, un sigiloso minero de criptomonedas .NET.
Vale la pena señalar que tanto PureHVNC Rat como Pureminer son parte de una suite de malware más amplia desarrollada por un actor de amenaza conocido como Purecoder. Algunos de los otros productos del mismo autor incluyen –
- Purecrypter, un crypter para nativo y .net
- Purerat (todavía conocido como Resolverrat), un sucesor de PureHvnc Rat
- Purelogs, un robador de información y lignario
- Blueloader, un malware que puede realizar como una botnet descargando y ejecutando cargas aperos de forma remota
- Pureclipper, un malware Clipper que sustituye las direcciones de criptomoneda copiadas en el portapapeles con direcciones de billetera controladas por el atacante para redirigir las transacciones y robar fondos
Según Fortinet, Amatera Stealer y Pureminer se implementan como amenazas sin archivo, con el malware “ejecutado a través de la compilación de .NET antiguamente de tiempo (AOT) con el proceso de hueco o cargado directamente en la memoria utilizando PythonMemoryModule”.
Amatera Stealer, una vez emprendedor, reúne la información del sistema, recopila archivos que coinciden con una índice predefinida de extensiones, y vendimia datos de navegadores basados en Chromium y Gecko, así como aplicaciones como Steam, Telegram, Filezilla y varias billeteras de criptomonedas.
“Esta campaña de phishing demuestra cómo un archivo SVG astuto puede realizar como un sustituto de HTML para iniciar una esclavitud de infecciones”, dijo Fortinet. En este caso, los atacantes atacaron a entidades del gobierno ucraniano con correos electrónicos que contienen archivos adjuntos SVG. El código HTML Embedido de SVG redirigió a las víctimas a un sitio de descarga “.
El crecimiento se produce cuando Huntress descubrió un probable corro de amenazas de palabra vietnamita que utiliza correos electrónicos de phishing con temas de aviso de infracción de derechos de autor para engañar a los destinatarios para que lanzaran los archivos con cremallera que conducen al despliegue de PXA Stealer, que luego evoluciona alrededor de una secuencia de infección de múltiples capas de caída de Purerat.
“Esta campaña demuestra una progresión clara y deliberada, comenzando con un simple señuelo de phishing y aumentando a través de capas de cargadores en memoria, esparcimiento de defensa y robo de credenciales”, dijo el investigador de seguridad James Northey. “La carga útil final, Purerat, representa la culminación de este esfuerzo: una puerta trasera modular y desarrollada profesionalmente que le da al atacante el control completo sobre un huésped comprometido”.
“Su progresión de la ofuscación de aficionados de sus cargas de Python a pasarse de malware de productos básicos como PureRat muestra no solo la persistencia, sino todavía las características de un cámara serio y madurado”.
