Se ha observado una nueva campaña en la que se hace pasar por agencias gubernamentales ucranianas en ataques de suplantación de identidad para cumplir Cargador de cuentas , que luego se usa para soltar Amatera Stealer y Minero puro .
«Los correos electrónicos de suplantación de identidad contienen archivos maliciosos de gráficos vectoriales escalables (SVG) diseñados para engañar a los destinatarios para que abran archivos adjuntos dañinos», dijo Yurren Wan, investigador de Fortinet FortiGuard Labs dijo en un informe compartido con The Hacker News.
En las cadenas de ataque documentadas por la empresa de ciberseguridad, los archivos SVG se utilizan para iniciar la descarga de un archivo ZIP protegido por contraseña, que contiene un archivo de ayuda HTML compilado (CHM). El archivo CHM, cuando se lanza, activa una cadena de eventos que culminan con el despliegue de CountLoader. Los mensajes de correo electrónico afirman ser un aviso de la Policía Nacional de Ucrania.
CountLoader, que fue objeto de un análisis reciente de Silent Push, se ha descubierto que lanza varias cargas útiles como Cobalt Strike, AdaptixC2 y PureHVNC RAT. En esta cadena de ataque, sin embargo, sirve como vector de distribución para Amatera Stealer , una variante de CARStealer, y PureMiner, un minero sigiloso de criptomonedas.NET.
Vale la pena señalar que tanto PureHVNC RAT como PureMiner forman parte de un paquete de malware más amplio desarrollado por un actor de amenazas conocido como PureCoder. Algunos de los otros productos del mismo autor incluyen -
- PureCrypter, un cifrador para Native y.NET
- PureRAT (también conocido como ResolverRAT), un sucesor de PureHVNC RAT
- PureLogs, un registrador y ladrón de información
- BlueLoader, un malware que puede actuar como una botnet descargando y ejecutando cargas útiles de forma remota
- PureClipper, un malware tipo clipper que sustituye las direcciones de criptomonedas copiadas en el portapapeles por direcciones de monederos controladas por un atacante para redirigir las transacciones y robar fondos
Según Fortinet, tanto Amatera Stealer como PureMiner se despliegan como amenazas sin archivos, y el malware «se ejecuta mediante la compilación .NET Ahead-of-Time (AOT) con procesos vacíos o se carga directamente en la memoria mediante PythonMemoryModule».
Amatera Stealer, una vez lanzado, recopila información del sistema, recopila archivos que coinciden con una lista predefinida de extensiones y recopila datos de navegadores basados en Chromium y Gecko, así como de aplicaciones como Steam, Telegram, FileZilla y varias carteras de criptomonedas.
«Esta campaña de suplantación de identidad demuestra cómo un archivo SVG malintencionado puede actuar como un sustituto del HTML para iniciar una cadena de infección», afirma Fortinet. En este caso, los atacantes atacaron a entidades gubernamentales ucranianas con correos electrónicos que contenían archivos adjuntos en formato SVG. El código HTML incrustado en SVG redirigía a las víctimas a un sitio de descargas».
La noticia se produce cuando Huntress descubrió que un grupo de amenazas probablemente de habla vietnamita utilizaba correos electrónicos de suplantación de identidad con temas de avisos de infracción de derechos de autor para engañar a los destinatarios y hacerles abrir archivos ZIP que llevaran al despliegue de Ladrón PXA , que luego evoluciona hasta convertirse en una secuencia de infección de varias capas que elimina PureRat.
«Esta campaña demuestra una progresión clara y deliberada, que comienza con un simple engaño de suplantación de identidad y se extiende a través de capas de cargadores en memoria, evasión por parte de la defensa y robo de credenciales», dijo el investigador de seguridad James Northey dijo . «La carga útil final, PureRAT, representa la culminación de este esfuerzo: una puerta trasera modular desarrollada profesionalmente que brinda al atacante un control total sobre un host comprometido».
«El hecho de que hayan pasado de una ofuscación poco profesional de sus cargas útiles en Python a abusar del malware convencional como PureRAT demuestra no solo su persistencia, sino también las características de un operador serio y maduro».