Các nhà nghiên cứu vạch trần cách phát tán CountLoader và PureRAT

[Starlink]

Một chiến dịch mới đã được phát hiện mạo danh các cơ quan chính phủ Ukraine trong các cuộc tấn công lừa đảo để phân phối CountLoader, sau đó được sử dụng để phát tán Amatera Stealer và PureMiner.

Nhà nghiên cứu Yurren Wan của Fortinet FortiGuard Labs cho biết trong một báo cáo chia sẻ với The Hacker News: "Các email lừa đảo chứa các tệp Scalable Vector Graphics (SVG) độc hại được thiết kế để lừa người nhận mở các tệp đính kèm có hại".

Trong chuỗi tấn công được công ty an ninh mạng ghi nhận, các tệp SVG được sử dụng để khởi tạo quá trình tải xuống một tệp ZIP được bảo vệ bằng mật khẩu, chứa tệp Trợ giúp HTML Biên dịch (CHM). Khi được khởi chạy, tệp CHM sẽ kích hoạt một chuỗi sự kiện dẫn đến việc triển khai CountLoader. Các email này tự nhận là thông báo từ Cảnh sát Quốc gia Ukraine.

CountLoader, vốn là đối tượng của một phân tích gần đây của Silent Push, đã được phát hiện thả nhiều payload khác nhau như Cobalt Strike, AdaptixC2 và PureHVNC RAT. Tuy nhiên, trong chuỗi tấn công này, nó đóng vai trò là vector phân phối cho Amatera Stealer, một biến thể của ACRStealer, và PureMiner, một trình khai thác tiền điện   Đăng nhập để xem liên kết ẩn danh.

Cần lưu ý rằng cả PureHVNC RAT và PureMiner đều là một phần của bộ phần mềm độc hại rộng hơn do một tác nhân đe dọa có tên là PureCoder phát triển. Một số sản phẩm khác của cùng tác giả bao gồm:

    PureCrypter, một trình mã hóa cho Native   Đăng nhập để xem liên kết
    PureRAT (hay còn gọi là ResolverRAT), phiên bản kế nhiệm của PureHVNC RAT
    PureLogs, một công cụ đánh cắp và ghi lại thông tin
    BlueLoader, một phần mềm độc hại có thể hoạt động như một mạng botnet bằng cách tải xuống và thực thi các phần mềm độc hại từ xa
    PureClipper, một phần mềm độc hại clipper thay thế các địa chỉ tiền điện tử được sao chép vào bảng tạm bằng các địa chỉ ví do kẻ tấn công kiểm soát để chuyển hướng giao dịch và đánh cắp tiền

Theo Fortinet, Amatera Stealer và PureMiner đều được triển khai dưới dạng các mối đe dọa không có tệp, trong đó phần mềm độc hại "được thực thi thông qua biên   Đăng nhập để xem liên kết Ahead-of-Time (AOT) với quá trình rỗng hoặc được tải trực tiếp vào bộ nhớ bằng PythonMemoryModule".

Amatera Stealer, sau khi được khởi chạy, sẽ thu thập thông tin hệ thống, tập hợp các tệp khớp với danh sách tiện ích mở rộng được xác định trước và thu thập dữ liệu từ các trình duyệt dựa trên Chromium và Gecko, cũng như các ứng dụng như Steam, Telegram, FileZilla và nhiều ví tiền điện tử khác.

"Chiến dịch lừa đảo này cho thấy một tệp SVG độc hại có thể hoạt động như một tệp thay thế HTML để khởi tạo chuỗi lây nhiễm", Fortinet cho biết. Trong trường hợp này, kẻ tấn công đã nhắm mục tiêu vào các cơ quan chính phủ Ukraine bằng email chứa tệp đính kèm SVG. Mã HTML nhúng SVG đã chuyển hướng nạn nhân đến một trang web tải xuống."

Sự phát triển này diễn ra khi Huntress phát hiện ra một nhóm đe dọa nói tiếng Việt có khả năng sử dụng email lừa đảo mang chủ đề thông báo vi phạm bản quyền để lừa người nhận khởi chạy kho lưu trữ ZIP dẫn đến việc triển khai PXA Stealer, sau đó phát triển thành chuỗi lây nhiễm nhiều lớp thả PureRAT.

"Chiến dịch này cho thấy một tiến trình rõ ràng và có chủ đích, bắt đầu bằng một mồi nhử lừa đảo đơn giản và leo thang qua các lớp tải trong bộ nhớ, né tránh phòng thủ và đánh cắp thông tin đăng nhập", nhà nghiên cứu bảo mật James Northey cho biết. "Phần mềm độc hại cuối cùng, PureRAT, đại diện cho đỉnh cao của nỗ lực này: một backdoor dạng module, được phát triển chuyên nghiệp, cho phép kẻ tấn công kiểm soát hoàn toàn máy chủ bị xâm nhập."

"Sự tiến triển của chúng từ việc che giấu mã độc Python một cách nghiệp dư đến việc lạm dụng phần mềm độc hại thông dụng như PureRAT không chỉ cho thấy sự kiên trì mà còn là dấu hiệu của một kẻ điều hành nghiêm túc và trưởng thành."