Исследователи обнаружили новую кампанию кибератак, имитирующих государственные учреждения, направленную на распространение вредоносного ПО CountLoader. Этот инструмент используется злоумышленниками для установки Amatera Stealer и PureMiner.
По данным исследовательской лаборатории FortiGuard Labs компании Fortinet, в ходе атаки используются письма электронной почты с вложениями в формате масштабируемых векторных графических файлов (Scalable Vector Graphics, SVG). Эти файлы предназначены для того, чтобы обмануть пользователей и заставить их загрузить вредоносные вложения.
При открытии вложений запускается цепочка событий, приводящих к установке CountLoader. Электронные письма маскируются под уведомления Национальной полиции Украины и содержат замаскированные SVG-файлы, которые инициируют загрузку защищенного паролем архива ZIP. Внутри архива находится файл формата CHM (Compiled HTML Help), запуск которого активирует дальнейшую установку вредоносного программного обеспечения.
В данном инциденте выяснилось, что CountLoader выступает в роли промежуточного инструмента доставки для распространения Amatera Stealer — варианта известного шпионского ПО ACRStealer — и PureMiner, скрытого майнера криптовалют, написанного на платформе .NET.
Стоит отметить, что оба компонента являются частью обширного набора инструментов разработчика угроз, известного как PureCoder. Среди прочих продуктов автора находятся:
- PureHVNC RAT (Remote Access Toolkit)
- PureCrypter (обфускатор кодов)
- PureLogs (шпионская программа и логгер)
- BlueLoader (загрузчик вредоносных программ)
- PureClipper (майнер-клипер, заменяющий адреса кошельков криптовалюты)
Fortinet подчеркивает, что обе программы, Amatera Stealer и PureMiner, работают незаметно благодаря технологиям компиляции .NET Ahead-of-Time (AOT) и техники процесс-холинга («процесс хилинга»), позволяющим загружать вредоносные компоненты непосредственно в память компьютера жертвы.
Once activated, Amatera Stealer собирает важную информацию о системе, включая личные данные и доступ к файлам определенных типов. Затем оно крадет информацию из браузеров Chrome и Firefox, приложений Steam, Telegram, FileZilla и множества криптокошельков.
"Это нападение демонстрирует, насколько коварной может стать простая атака с использованием SVG файла, выполняющего роль приманки для запуска цепи заражения", — отмечают исследователи из Fortinet.
Исследование показывает растущую сложность современных атак, демонстрируя переход от простых методов фишинга к многоуровневым схемам инфицирования, использующим современные методы обхода защиты и кражи конфиденциальных данных.
Рекомендации пользователям и организациям:
Чтобы защитить себя от подобных угроз, специалисты рекомендуют придерживаться ряда мер предосторожности:
- Будьте внимательны к письмам от неизвестных отправителей, особенно если они требуют немедленных действий или включают необычные типы вложений.
- Регулярно обновляйте антивирусные решения и системы обнаружения вторжений.
- Используйте надежные инструменты управления цифровой подписью и проверки подлинности электронных писем.
- Проводите обучение сотрудников основам кибергигиены и правилам поведения при получении подозрительных сообщений.
Таким образом, регулярное обновление защитных механизмов и повышение осведомленности сотрудников остаются ключевыми факторами успешной борьбы с современными киберугрозами.
По данным исследовательской лаборатории FortiGuard Labs компании Fortinet, в ходе атаки используются письма электронной почты с вложениями в формате масштабируемых векторных графических файлов (Scalable Vector Graphics, SVG). Эти файлы предназначены для того, чтобы обмануть пользователей и заставить их загрузить вредоносные вложения.
При открытии вложений запускается цепочка событий, приводящих к установке CountLoader. Электронные письма маскируются под уведомления Национальной полиции Украины и содержат замаскированные SVG-файлы, которые инициируют загрузку защищенного паролем архива ZIP. Внутри архива находится файл формата CHM (Compiled HTML Help), запуск которого активирует дальнейшую установку вредоносного программного обеспечения.
В данном инциденте выяснилось, что CountLoader выступает в роли промежуточного инструмента доставки для распространения Amatera Stealer — варианта известного шпионского ПО ACRStealer — и PureMiner, скрытого майнера криптовалют, написанного на платформе .NET.
Стоит отметить, что оба компонента являются частью обширного набора инструментов разработчика угроз, известного как PureCoder. Среди прочих продуктов автора находятся:
- PureHVNC RAT (Remote Access Toolkit)
- PureCrypter (обфускатор кодов)
- PureLogs (шпионская программа и логгер)
- BlueLoader (загрузчик вредоносных программ)
- PureClipper (майнер-клипер, заменяющий адреса кошельков криптовалюты)
Fortinet подчеркивает, что обе программы, Amatera Stealer и PureMiner, работают незаметно благодаря технологиям компиляции .NET Ahead-of-Time (AOT) и техники процесс-холинга («процесс хилинга»), позволяющим загружать вредоносные компоненты непосредственно в память компьютера жертвы.
Once activated, Amatera Stealer собирает важную информацию о системе, включая личные данные и доступ к файлам определенных типов. Затем оно крадет информацию из браузеров Chrome и Firefox, приложений Steam, Telegram, FileZilla и множества криптокошельков.
"Это нападение демонстрирует, насколько коварной может стать простая атака с использованием SVG файла, выполняющего роль приманки для запуска цепи заражения", — отмечают исследователи из Fortinet.
Исследование показывает растущую сложность современных атак, демонстрируя переход от простых методов фишинга к многоуровневым схемам инфицирования, использующим современные методы обхода защиты и кражи конфиденциальных данных.
Рекомендации пользователям и организациям:
Чтобы защитить себя от подобных угроз, специалисты рекомендуют придерживаться ряда мер предосторожности:
- Будьте внимательны к письмам от неизвестных отправителей, особенно если они требуют немедленных действий или включают необычные типы вложений.
- Регулярно обновляйте антивирусные решения и системы обнаружения вторжений.
- Используйте надежные инструменты управления цифровой подписью и проверки подлинности электронных писем.
- Проводите обучение сотрудников основам кибергигиены и правилам поведения при получении подозрительных сообщений.
Таким образом, регулярное обновление защитных механизмов и повышение осведомленности сотрудников остаются ключевыми факторами успешной борьбы с современными киберугрозами.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь