Campagna di phishing contro agenzie governative ucraine
Una nuova campagna di phishing è stata osservata mentre impersonava agenzie governative ucraine per distribuire CountLoader, utilizzato successivamente per installare Amatera Stealer e PureMiner. Secondo il ricercatore di Fortinet FortiGuard Labs, Yurren Wan, le email di phishing contengono file SVG (Scalable Vector Graphics) malevoli progettati per ingannare i destinatari e indurli ad aprire allegati dannosi.
La catena di attacco
Nei casi documentati dalla società di cybersecurity, i file SVG vengono utilizzati per avviare il download di un archivio ZIP protetto da password, contenente un file CHM (Compiled HTML Help). Una volta lanciato, il file CHM attiva una serie di eventi che culminano nel dispiegamento di CountLoader. Le email si presentano come notifiche della Polizia Nazionale dell’Ucraina.
CountLoader e i suoi payload
CountLoader, recentemente analizzato da Silent Push, è noto per distribuire vari payload come Cobalt Strike, AdaptixC2 e PureHVNC RAT. In questa catena di attacco, tuttavia, funge da vettore di distribuzione per Amatera Stealer, una variante di ACRStealer, e PureMiner, un miner di criptovalute .NET furtivo.
Il malware di PureCoder
Sia PureHVNC RAT che PureMiner fanno parte di una suite di malware più ampia sviluppata da un attore di minacce noto come PureCoder. Altri prodotti dello stesso autore includono PureCrypter, PureRAT, PureLogs, BlueLoader e PureClipper. Secondo Fortinet, Amatera Stealer e PureMiner vengono distribuiti come minacce senza file, con il malware eseguito tramite compilazione .NET Ahead-of-Time (AOT) con process hollowing o caricato direttamente in memoria utilizzando PythonMemoryModule.
Funzionalità di Amatera Stealer
Una volta lanciato, Amatera Stealer raccoglie informazioni di sistema, colleziona file che corrispondono a una lista predefinita di estensioni e raccoglie dati da browser basati su Chromium e Gecko, oltre che da applicazioni come Steam, Telegram, FileZilla e vari portafogli di criptovalute.
Considerazioni finali
Questa campagna di phishing dimostra come un file SVG malevolo possa agire come un sostituto HTML per avviare una catena di infezione. Gli attaccanti hanno preso di mira enti governativi ucraini con email contenenti allegati SVG, il cui codice HTML incorporato reindirizzava le vittime a un sito di download. È un esempio lampante di come le tecniche di phishing continuino a evolversi, sfruttando nuove vulnerabilità e metodi per ingannare gli utenti. La crescente sofisticazione di queste minacce sottolinea l’importanza di una continua vigilanza e di misure di sicurezza aggiornate per proteggere le informazioni sensibili.
Fonte: The Hackers News
