Một chiến dịch mới đã được quan sát thấy đang mạo danh các cơ quan chính phủ Ukraine trong các cuộc tấn công lừa đảo để phát tán CountLoader, sau đó được sử dụng để thả Amatera Stealer và PureMiner.
"Các email lừa đảo chứa các tệp Scalable Vector Graphics (SVG) độc hại được thiết kế để lừa người nhận mở các tệp đính kèm gây hại," nhà nghiên cứu Yurren Wan từ Fortinet FortiGuard Labs cho biết trong một báo cáo chia sẻ với The Hacker News.
Trong các chuỗi tấn công được công ty an ninh mạng ghi lại, các tệp SVG được sử dụng để bắt đầu tải xuống một kho lưu trữ ZIP được bảo vệ bằng mật khẩu, chứa một tệp Compiled HTML Help (CHM). Tệp CHM, khi khởi chạy, kích hoạt một chuỗi các sự kiện mà đỉnh điểm là việc triển khai CountLoader. Các thư điện tử này được cho là một thông báo từ Cảnh sát Quốc gia Ukraine.
CountLoader, đối tượng của một phân tích gần đây của Silent Push, đã được phát hiện để thả nhiều tải trọng khác nhau như Cobalt Strike, AdaptixC2 và PureHVNC RAT. Tuy nhiên, trong chuỗi tấn công này, nó đóng vai trò là vector phân phối cho Amatera Stealer, một biến thể của ACRStealer, và PureMiner, một công cụ khai thác tiền điện tử .NET lén lút.
Điều đáng chú ý là cả PureHVNC RAT và PureMiner đều là một phần của bộ công cụ độc hại rộng hơn được phát triển bởi một tác nhân đe dọa được biết đến với tên PureCoder. Một số sản phẩm khác từ cùng tác giả bao gồm -
- PureCrypter, một trình mã hóa cho Native và .NET
- PureRAT (còn gọi là ResolverRAT), một phiên bản kế nhiệm của PureHVNC RAT
- PureLogs, một trình đánh cắp thông tin và ghi nhật ký
- BlueLoader, một phần mềm độc hại có thể hoạt động như một botnet bằng cách tải xuống và thực thi các tải trọng từ xa
- PureClipper, một phần mềm độc hại clipper thay thế các địa chỉ tiền điện tử được sao chép vào clipboard bằng các địa chỉ ví do kẻ tấn công kiểm soát để chuyển hướng giao dịch và đánh cắp tiền
Theo Fortinet, Amatera Stealer và PureMiner đều được triển khai dưới dạng các mối đe dọa không tệp, với phần mềm độc hại "được thực thi thông qua biên dịch .NET Ahead-of-Time (AOT) với process hollowing hoặc được tải trực tiếp vào bộ nhớ bằng PythonMemoryModule."
Amatera Stealer, sau khi khởi chạy, sẽ thu thập thông tin hệ thống, các tệp khớp với danh sách phần mở rộng được xác định trước và thu thập dữ liệu từ các trình duyệt dựa trên Chromium và Gecko, cũng như các ứng dụng như Steam, Telegram, FileZilla và nhiều ví tiền điện tử khác nhau.
"Chiến dịch lừa đảo này cho thấy một tệp SVG độc hại có thể hoạt động như một phương tiện thay thế HTML để khởi tạo chuỗi lây nhiễm như thế nào," Fortinet cho biết. Trong trường hợp này, những kẻ tấn công đã nhắm mục tiêu vào các tổ chức chính phủ Ukraine bằng các email chứa tệp đính kèm SVG. Mã HTML được nhúng trong SVG đã chuyển hướng nạn nhân đến một trang web tải xuống."
Sự phát triển này diễn ra khi Huntress phát hiện ra một nhóm đe dọa có thể nói tiếng Việt đang sử dụng các email lừa đảo mang chủ đề thông báo vi phạm bản quyền để lừa người nhận khởi chạy các kho lưu trữ ZIP dẫn đến việc triển khai PXA Stealer, sau đó phát triển thành một chuỗi lây nhiễm đa lớp thả PureRAT.
"Chiến dịch này thể hiện một sự tiến triển rõ ràng và có chủ đích, bắt đầu bằng một mồi nhử lừa đảo đơn giản và leo thang qua các lớp tải bộ nhớ, né tránh phòng thủ và đánh cắp thông tin đăng nhập," nhà nghiên cứu an ninh James Northey cho biết. "Tải trọng cuối cùng, PureRAT, đại diện cho đỉnh cao của nỗ lực này: một backdoor mô-đun, được phát triển chuyên nghiệp, mang lại cho kẻ tấn công quyền kiểm soát hoàn toàn đối với một máy chủ bị xâm nhập."
"Sự tiến triển của chúng từ việc che giấu nghiệp dư các tải trọng Python đến việc lạm dụng phần mềm độc hại thương mại như PureRAT cho thấy không chỉ sự kiên trì mà còn là dấu hiệu của một tác nhân nghiêm túc và trưởng thành."
