Ukrayna hükümet ajanslarını kimlik avı saldırılarında taklit etmek için yeni bir kampanya görüldü. Sayımcıo zaman düşmek için kullanılır Amatera Stealer Ve Pureeminer.
Hacker News ile paylaşılan bir raporda Fortinet Fortiguard Labs araştırmacısı Yurren Wan, “Kimlik avı e -postaları, alıcıları zararlı ekler açmak için kandırmak için tasarlanmış kötü niyetli ölçeklenebilir vektör grafikleri (SVG) dosyaları içeriyor.” Dedi.
Siber güvenlik şirketi tarafından belgelenen saldırı zincirlerinde, SVG dosyaları, derlenmiş bir HTML Yardım (CHM) dosyası içeren şifre korumalı bir zip arşivinin indirilmesini başlatmak için kullanılır. CHM dosyası, başlatıldığında, CountLoader’ın konuşlandırılmasıyla sonuçlanan bir olay zincirini etkinleştirir. E -posta mesajları Ukrayna Ulusal Polisi’nden bir bildirim olduğunu iddia ediyor.
Silent Push tarafından yakın zamanda yapılan bir analizin konusu olan CountLoader’ın Cobalt Strike, ADAPTIXC2 ve PurEHVNC Rat gibi çeşitli yükleri düşürdüğü bulunmuştur. Bununla birlikte, bu saldırı zincirinde, Acrstealer’ın bir varyantı olan Amatera Stealer ve gizli bir .NET kripto para madenci olan Pureminer için bir dağıtım vektörü olarak hizmet eder.
Hem PurEHVNC sıçan hem de Pureminer’ın Purecoder olarak bilinen bir tehdit oyuncusu tarafından geliştirilen daha geniş bir kötü amaçlı yazılım süitinin bir parçası olduğunu belirtmek gerekir. Aynı yazarın diğer ürünlerinden bazıları –
- Purecrypter, yerli ve .net için bir krykor
- Purerat (aka Resolverrat), Purehvnc Rat’ın halefi
- Purelogs, Bir Bilgi Stealer ve Logger
- Blueloader, yükleri uzaktan indirip yürüterek botnet olarak hareket edebilen bir kötü amaçlı yazılım
- Pureclipper, Panoya kopyalanan kripto para birimi adreslerinin, işlemleri yeniden yönlendirmek ve fonları çalmak için atak kontrollü cüzdan adresleri ile kopyalanan bir Clipper kötü amaçlı yazılım
Fortinet’e göre, Amatera Stealer ve Pureminer, kötü amaçlı yazılımlar ile “.NET üzerinden (AOT) işlemle yürütülen veya PythonMemoryModule kullanılarak doğrudan belleğe yüklendi.”
Amatera Stealer, başlatıldıktan sonra sistem bilgilerini toplar, önceden tanımlanmış bir uzantılar listesi ile eşleşen dosyaları toplar ve krom ve Gecko bazlı tarayıcılardan gelen veri, ayrıca Steam, Telegram, Filezilla ve çeşitli kripto para cüzdanları gibi uygulamalar.
Fortinet, “Bu kimlik avı kampanyası, kötü niyetli bir SVG dosyasının bir enfeksiyon zinciri başlatmak için nasıl bir HTML yerine geçebileceğini gösteriyor.” Dedi. Bu durumda, saldırganlar Ukrayna hükümet kuruluşlarını SVG ekleri içeren e -postalarla hedef aldı. SVG gömülü HTML kodu, kurbanları bir indirme sitesine yönlendirdi. “
Geliştirme, Huntress’in, telif hakkı ihlali taşıyan kimlik avı e-postalarını kullanarak, alıcıları PXA stealer’ın konuşlandırılmasına yol açan zip arşivleri başlatmaya yönelik pikişe sahip bir enfeksiyon dizisine düşen bir enfeksiyon sekansına dönüşen zip arşivlerini kandırmak için olası bir Vietnamca konuşan tehdit grubunu ortaya çıkarmasıyla geliyor.
Güvenlik araştırmacısı James Northey, “Bu kampanya, basit bir kimlik avı cazibesi ile başlayıp bellek içi yükleyiciler, savunma kaçakçılığı ve kimlik bilgisi hırsızlığı katmanlarından artarak açık ve kasıtlı bir ilerleme gösteriyor.” Dedi. “Son yük, Purerat, bu çabanın doruk noktasını temsil ediyor: saldırgana uzlaşmış bir ev sahibi üzerinde tam kontrol sağlayan modüler, profesyonel olarak geliştirilmiş bir arka kapı.”
Diyerek şöyle devam etti: “Python yüklerinin amatörce gizlenmesinden, Purerat gibi emtia kötü amaçlı yazılımları kötüye kullanmaya kadar ilerlemeleri, sadece kalıcılığı değil, aynı zamanda ciddi ve olgunlaşan bir operatörün ayırt edici özelliklerini de gösteriyor.”