Se ha observado que una nueva campaña proporciona un contexto de conteos al hacerse pasar por agencias gubernamentales ucranianas en ataques de phishing, que luego se utilizarán para dejar caer a Amaterasu agitadores y pureminers.
«El correo electrónico de phishing contiene archivos de gráficos vectoriales escalables (SVG) diseñados para engañar a los destinatarios para que abran archivos adjuntos dañinos», dijo Yurren Wan, investigador de Fortinet Fortiguard Labs, en un informe compartido con Hacker News.
La cadena de ataque documentada por una compañía de seguridad cibernética utiliza archivos SVG para iniciar una descarga de archivo ZIP protegida con contraseña. Esto contiene el archivo HTML AYUD (CHM) compilado. El archivo CHM activa una cadena de eventos que culminará en la expansión del contexto al inicio. El mensaje de correo electrónico afirma que es una notificación de la Policía Nacional de Ucrania.
Se ha encontrado que el contexto elimina varias cargas útiles, como las ratas Cobalt Strike, AdaptIXC2 y PureHVNC, ya que estaba sujeto al análisis reciente por empuje silencioso. Sin embargo, en esta cadena de ataque actúa como un vector de distribución para las variantes de Acrstealer Amatera Staaler y el Pureminer del minero de criptomonedas .net .NET.
Vale la pena señalar que tanto las ratas PureHVNC como el Pureminer son parte del conjunto más amplio de malware desarrollado por actores de amenaza conocidos como Purecoder. Algunos de los otros productos del mismo autor:
Purecrypter, nativo y .NET Pureat (también conocido como Resolverrat), sucesor de PureHvnc Rat, información robada de información y Blueloader de madrugador, Blueloader, malware, el malware actúa como una botnet descargando y ejecutando la purga remota de carga útil. La billetera controlada por el atacante aborda transacciones de redirección y fondos de robo
Según Fortinet, tanto Amatera Stealer como Pureminer se han desplegado como amenazas sin fuego, con malware que implementan «los procesos se pueden ahuecer utilizando PythonMemoryModule o mediante .NET a través de procesos cargados directamente en la memoria».
Amatera Staaler recopila información del sistema cuando se lanza, archivos que coinciden con una lista predefinida de extensiones, datos de navegadores basados en Chromium y Gecko, y aplicaciones como Steam, Telegram, Filezilla y varias billeteras de criptomonedas.
«Esta campaña de phishing muestra cómo los archivos SVG maliciosos actúan como alternativas HTML para lanzar hilos de infección», dijo Fortinet. En este caso, el atacante atacó a las agencias gubernamentales ucranianas que contenían correos electrónicos que contenían archivos adjuntos SVG. El código HTML integrado en SVG redirigió a la víctima a un sitio de descarga. «
El desarrollo se convierte en una secuencia de infección de múltiples capas Drop PRAT RAT, donde Huntress descubre un grupo de amenazas de habla vietnamita que usa correos electrónicos de phishing utilizando un tema de notificación de piratería, engañando al destinatario para que lance un archivo zip que conduce al despliegue de PXA Steelers.
«La campaña muestra una progresión clara e intencional que comienza con un simple señuelo de pesca y se intensifica de las capas de cargador en memoria, la evasión de defensa y el robo de calificación», dijo el investigador de seguridad James Norsey. «La carga útil final, Purerat, representa la culminación de este esfuerzo: una puerta trasera modular y desarrollada profesionalmente que tiene un control total sobre el huésped comprometido por un atacante».
«La progresión de la ofuscación aficionada de las cargas útiles de Python como Purerat a abuso de malware del producto como Purerat muestra no solo la persistencia, sino también las características de los operadores serios y maduros».
Source link
