Письма от украинской полиции прячут майнер и стилер — атака начинается с безобидной картинки

Fortinet PureCoder CountLoader Amatera Stealer PureMiner SVG фишинг
Письма от украинской полиции прячут майнер и стилер — атака начинается с безобидной картинки
Fortinet PureCoder CountLoader Amatera Stealer PureMiner SVG фишинг

Преступники научились прятать вирусы там, где их никто не ждёт.

image

Новая кампания кибератак, зафиксированная исследователями Fortinet FortiGuard Labs, маскируется под уведомления Национальной полиции Украины и использует необычный приём доставки вредоносных программ. Злоумышленники рассылают письма с вложениями в формате SVG, которые запускают цепочку загрузки CountLoader, а затем Amatera Stealer и скрытого майнера PureMiner.

Механизм атаки устроен многоступенчато. Получатель получает сообщение с вложением, якобы от украинских правоохранительных органов. Внутри находится SVG-файл с внедрённым HTML-кодом, перенаправляющим жертву на загрузку ZIP-архива с паролем.

В архиве содержится CHM-файл справочной системы Windows, открытие которого активирует CountLoader. Этот загрузчик известен по анализам компании Silent Push и обычно применялся для внедрения Cobalt Strike, AdaptixC2 и PureHVNC RAT. В рассматриваемом случае он распространяет Amatera Stealer и PureMiner.

Amatera Stealer — модификация ACRStealer. Он собирает системные характеристики, копирует файлы определённых расширений, извлекает данные из браузеров на движках Chromium и Gecko, а также получает учётные данные из Steam, Telegram, FileZilla и криптовалютных кошельков.

PureMiner, созданный на .NET, запускается как бесфайловый процесс, добывая криптовалюту незаметно для пользователя. Для маскировки применяется технология Ahead-of-Time компиляции с подменой процессов либо загрузка в память с помощью PythonMemoryModule.

Отдельного внимания заслуживает авторство используемого вредоносного инструментария. PureMiner и PureHVNC RAT относятся к семейству, разрабатываемому под псевдонимом PureCoder. Среди других его продуктов — PureCrypter, маскирующий .NET и нативные исполняемые файлы; PureRAT (ResolverRAT), пришедший на смену PureHVNC; PureLogs для кражи и записи данных; BlueLoader, превращающий заражённые системы в управляемую ботнет-сеть; и PureClipper, который подменяет криптовалютные адреса в буфере обмена для перенаправления переводов.

Fortinet подчёркивает, что применение SVG-файлов в качестве подмены HTML-документов делает такие атаки особенно опасными. Получатели писем не ожидают угрозы в графическом формате, а потому открывают вложение без подозрений.

В данном случае именно эта техника позволила незаметно запустить загрузку и дальнейшее развертывание CountLoader с последующей установкой стелс-инструментов PureCoder.