Новая кибератака, распространяющая вредоносные программы CountLoader и PureRAT
Исследователи обнаружили новую кампанию кибератак, имитирующих государственные учреждения, направленную на распространение вредоносного ПО CountLoader. Этот инструмент используется злоумышленниками для установки Amatera Stealer и PureMiner.
По данным исследовательской лаборатории FortiGuard Labs компании Fortinet, в ходе атаки используются письма электронной почты с вложениями в формате масштабируемых векторных графических файлов (Scalable Vector Graphics, SVG). Эти файлы предназначены для того, чтобы обмануть пользователей и заставить их загрузить вредоносные вложения.
При открытии вложений запускается цепочка событий, приводящих к установке CountLoader. Электронные письма маскируются под уведомления Национальной полиции Украины и содержат замаскированные SVG-файлы, которые инициируют загрузку защищенного паролем архива ZIP. Внутри архива находится файл формата CHM (Compiled HTML Help), запуск которого активирует дальнейшую установку вредоносного программного обеспечения.
В данном инциденте выяснилось, что CountLoader выступает в роли промежуточного инструмента доставки для распространения Amatera Stealer — варианта известного шпионского ПО ACRStealer — и PureMiner, скрытого майнера криптовалют, написанного на платформе .NET.
Стоит отметить, что оба компонента являются частью обширного набора инструментов разработчика угроз, известного как PureCoder. Среди прочих продуктов автора находятся:
- PureHVNC RAT (Remote Access Toolkit) - PureCrypter (обфускатор кодов) - PureLogs (шпионская программа и логгер) - BlueLoader (загрузчик вредоносных программ) - PureClipper (майнер-клипер, заменяющий адреса кошельков криптовалюты)
Fortinet подчеркивает, что обе программы, Amatera Stealer и PureMiner, работают незаметно благодаря технологиям компиляции .NET Ahead-of-Time (AOT) и техники процесс-холинга («процесс хилинга»), позволяющим загружать вредоносные компоненты непосредственно в память компьютера жертвы.
Once activated, Amatera Stealer собирает важную информацию о системе, включая личные данные и доступ к файлам определенных типов. Затем оно крадет информацию из браузеров Chrome и Firefox, приложений Steam, Telegram, FileZilla и множества криптокошельков.
"Это нападение демонстрирует, насколько коварной может стать простая атака с использованием SVG файла, выполняющего роль приманки для запуска цепи заражения", — отмечают исследователи из Fortinet.
Исследование показывает растущую сложность современных атак, демонстрируя переход от простых методов фишинга к многоуровневым схемам инфицирования, использующим современные методы обхода защиты и кражи конфиденциальных данных.
Рекомендации пользователям и организациям:
Чтобы защитить себя от подобных угроз, специалисты рекомендуют придерживаться ряда мер предосторожности:
- Будьте внимательны к письмам от неизвестных отправителей, особенно если они требуют немедленных действий или включают необычные типы вложений. - Регулярно обновляйте антивирусные решения и системы обнаружения вторжений. - Используйте надежные инструменты управления цифровой подписью и проверки подлинности электронных писем. - Проводите обучение сотрудников основам кибергигиены и правилам поведения при получении подозрительных сообщений.
Таким образом, регулярное обновление защитных механизмов и повышение осведомленности сотрудников остаются ключевыми факторами успешной борьбы с современными киберугрозами.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!