Обнаружена новая фишинговая кампания, в рамках которой злоумышленники выдают себя за украинские государственные органы для доставки CountLoader — загрузчика, который затем используется для установки Amatera Stealer и PureMiner.
«Фишинговые письма содержат вредоносные файлы в формате SVG (Scalable Vector Graphics), созданные с целью обмануть получателей и заставить их открыть вложения», — сообщил исследователь Fortinet FortiGuard Labs Юррен Ван в отчёте, опубликованном на The Hacker News.
В цепочке атаки, описанной компанией по кибербезопасности, SVG-файлы используются для запуска загрузки ZIP-архива с паролем, содержащего файл справки в формате Compiled HTML Help (CHM). При запуске CHM-файл активирует цепочку событий, в результате которой загружается CountLoader. Сообщения в письмах якобы поступают от Национальной полиции Украины.
CountLoader, который ранее анализировался компанией Silent Push, способен доставлять различные вредоносные программы, включая Cobalt Strike, AdaptixC2 и PureHVNC RAT. Однако в данной атаке он используется для распространения Amatera Stealer — варианта ACRStealer, и PureMiner — скрытого майнера криптовалют, написанного на .NET.
Важно отметить, что как PureHVNC RAT, так и PureMiner являются частью более широкой вредоносной экосистемы, разработанной кодером продукта PureCoder. Среди других инструментов этого разработчика:
После запуска Amatera Stealer собирает информацию о системе, извлекает файлы с заранее заданными расширениями и похищает данные из браузеров на базе Chromium и Gecko, а также таких приложений, как Steam, Telegram, FileZilla и различных криптокошельков.
«Эта фишинговая кампания демонстрирует, как вредоносный SVG-файл может выступать в роли аналога HTML-документа для запуска цепочки заражения», — отмечает Fortinet. В данном случае злоумышленники атаковали украинские государственные учреждения, рассылая письма с вложенными SVG-файлами. Код HTML, встроенный в SVG, перенаправлял жертв на сайт загрузки вредоносного ПО.
Одновременно с этим компания Huntress выявила другую кампанию, предположительно организованную вьетнамоговорящей хакерской группировкой. Они рассылали фишинговые письма с темой нарушения авторских прав, чтобы убедить получателей открыть ZIP-архивы, которые вели к установке PXA Stealer — вредоноса, запускающего многоступенчатую цепочку заражения с установкой PureRAT в качестве финального этапа.
«Эта кампания демонстрирует чёткую и продуманную эволюцию: от простого фишингового письма — к многослойной системе загрузчиков в памяти, обходу защитных механизмов и краже учётных данных», — заявил исследователь безопасности Джеймс Норти. «Финальная полезная нагрузка — PureRAT — представляет собой кульминацию всех усилий: модульную, профессионально разработанную бэкдор-программу, предоставляющую злоумышленнику полный контроль над заражённым устройством».
«Переход от любительской обфускации Python-скриптов к использованию широко доступных вредоносных инструментов, таких как PureRAT, свидетельствует о серьёзности этой группировки».
- Источник: https://thehackernews.com/2025/09/researchers-expose-svg-and-purerat.html
«Фишинговые письма содержат вредоносные файлы в формате SVG (Scalable Vector Graphics), созданные с целью обмануть получателей и заставить их открыть вложения», — сообщил исследователь Fortinet FortiGuard Labs Юррен Ван в отчёте, опубликованном на The Hacker News.
В цепочке атаки, описанной компанией по кибербезопасности, SVG-файлы используются для запуска загрузки ZIP-архива с паролем, содержащего файл справки в формате Compiled HTML Help (CHM). При запуске CHM-файл активирует цепочку событий, в результате которой загружается CountLoader. Сообщения в письмах якобы поступают от Национальной полиции Украины.
CountLoader, который ранее анализировался компанией Silent Push, способен доставлять различные вредоносные программы, включая Cobalt Strike, AdaptixC2 и PureHVNC RAT. Однако в данной атаке он используется для распространения Amatera Stealer — варианта ACRStealer, и PureMiner — скрытого майнера криптовалют, написанного на .NET.
Важно отметить, что как PureHVNC RAT, так и PureMiner являются частью более широкой вредоносной экосистемы, разработанной кодером продукта PureCoder. Среди других инструментов этого разработчика:
- PureCrypter — криптер для Native и .NET приложений
- PureRAT (также известный как ResolverRAT) — преемник PureHVNC RAT
- PureLogs — вредоносная программа для кражи информации и логирования
- BlueLoader — вредоносное ПО, способное функционировать как ботнет, загружая и исполняя полезные нагрузки удалённо
- PureClipper — клиппер, подменяющий адреса криптовалютных кошельков в буфере обмена на адреса, контролируемые атакующим, с целью кражи средств
После запуска Amatera Stealer собирает информацию о системе, извлекает файлы с заранее заданными расширениями и похищает данные из браузеров на базе Chromium и Gecko, а также таких приложений, как Steam, Telegram, FileZilla и различных криптокошельков.
«Эта фишинговая кампания демонстрирует, как вредоносный SVG-файл может выступать в роли аналога HTML-документа для запуска цепочки заражения», — отмечает Fortinet. В данном случае злоумышленники атаковали украинские государственные учреждения, рассылая письма с вложенными SVG-файлами. Код HTML, встроенный в SVG, перенаправлял жертв на сайт загрузки вредоносного ПО.
Одновременно с этим компания Huntress выявила другую кампанию, предположительно организованную вьетнамоговорящей хакерской группировкой. Они рассылали фишинговые письма с темой нарушения авторских прав, чтобы убедить получателей открыть ZIP-архивы, которые вели к установке PXA Stealer — вредоноса, запускающего многоступенчатую цепочку заражения с установкой PureRAT в качестве финального этапа.
«Эта кампания демонстрирует чёткую и продуманную эволюцию: от простого фишингового письма — к многослойной системе загрузчиков в памяти, обходу защитных механизмов и краже учётных данных», — заявил исследователь безопасности Джеймс Норти. «Финальная полезная нагрузка — PureRAT — представляет собой кульминацию всех усилий: модульную, профессионально разработанную бэкдор-программу, предоставляющую злоумышленнику полный контроль над заражённым устройством».
«Переход от любительской обфускации Python-скриптов к использованию широко доступных вредоносных инструментов, таких как PureRAT, свидетельствует о серьёзности этой группировки».
- Источник: https://thehackernews.com/2025/09/researchers-expose-svg-and-purerat.html