Σε μια εποχή όπου οι κυβερνοαπειλές εξελίσσονται συνεχώς, ερευνητές στον τομέα της κυβερνοασφάλειας έχουν αποκαλύψει δύο νέες, σοβαρές εκστρατείες phishing, με στόχο τη διανομή των επικίνδυνων λογισμικών CountLoader και PureRAT, απειλώντας τόσο κυβερνητικούς φορείς όσο και απλούς χρήστες.
Η πρώτη εκστρατεία, που παρατηρήθηκε να προσποιείται ουκρανικές κυβερνητικές υπηρεσίες, χρησιμοποιεί παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου που υποτίθεται ότι προέρχονται από την Εθνική Αστυνομία της Ουκρανίας. Σύμφωνα με τον Yurren Wan, ερευνητή των Fortinet FortiGuard Labs, τα emails περιέχουν κακόβουλα αρχεία Scalable Vector Graphics (SVG), ειδικά σχεδιασμένα για να ξεγελάσουν τους παραλήπτες ώστε να ανοίξουν επιβλαβή συνημμένα.
Η αλυσίδα μόλυνσης ξεκινά όταν το αρχείο SVG ενεργοποιεί τη λήψη ενός προστατευμένου με κωδικό πρόσβασης αρχείου ZIP, το οποίο περιέχει ένα αρχείο Compiled HTML Help (CHM).
Στη συνέχεια, η εκτέλεση του CHM ενεργοποιεί μια αλυσίδα γεγονότων που καταλήγει στην ανάπτυξη του CountLoader, ενός loader γνωστού για την ικανότητά του να εγκαθιστά διάφορα payloads όπως Cobalt Strike και AdaptixC2, Στη συγκεκριμένη περίπτωση χρησιμοποιείται για τη διανομή του Amatera Stealer, μιας παραλλαγής του ACRStealer και του PureMiner, ενός κρυπτονομισματοθήρα.
Αξίζει να σημειωθεί ότι τόσο το Amatera Stealer όσο και το PureMiner αναπτύσσονται ως απειλές χωρίς αρχείο. Μόλις ενεργοποιηθούν, συλλέγουν ευαίσθητες πληροφορίες συστήματος, αρχεία και δεδομένα από προγράμματα περιήγησης βασισμένα σε Chromium και Gecko, καθώς και από εφαρμογές όπως Steam, Telegram, FileZilla και διάφορα ψηφιακά πορτοφόλια.
Η σουίτα PureCoder και το επικίνδυνο PureRAT
Παράλληλα, οι ερευνητές εφιστούν την προσοχή στη σουίτα κακόβουλου λογισμικού που αναπτύχθηκε από έναν απειλητικό παράγοντα γνωστό ως PureCoder. Σε αυτή τη σουίτα ανήκουν το PureHVNC RAT, το PureMiner, το PureCrypter, το PureLogs, το BlueLoader και το PureClipper, malware που αντικαθιστά διευθύνσεις κρυπτονομισμάτων στο πρόχειρο.
Μια ξεχωριστή εκστρατεία, που εντοπίστηκε από την εταιρεία Huntress, χρησιμοποιεί μηνύματα ηλεκτρονικού ταχυδρομείου με θέμα ειδοποιήσεις παραβίασης πνευματικών δικαιωμάτων. Αυτά τα emails οδηγούν σε αρχεία ZIP που τελικά εγκαθιστούν το PXA Stealer και εν συνεχεία, το PureRAT.
Όπως δήλωσε ο ερευνητής ασφαλείας James Northey, το PureRAT είναι ένα αρθρωτό, επαγγελματικά ανεπτυγμένο backdoor που παρέχει στον επιτιθέμενο πλήρη έλεγχο σε έναν παραβιασμένο υπολογιστή. Η εξέλιξη των επιτιθέμενων από ερασιτεχνική απόκρυψη σε χρήση εμπορικών επιβλαβών λογισμικών όπως το PureRAT, καταδεικνύει την ωρίμανση και τη σοβαρότητα της απειλής.
Αυτές οι εκστρατείες υπογραμμίζουν την αυξανόμενη πολυπλοκότητα των επιθέσεων phishing και την ανάγκη για συνεχή επαγρύπνηση. Για την προστασία από τέτοιες απειλές, είναι ζωτικής σημασίας οι χρήστες να είναι ιδιαίτερα προσεκτικοί με τα email που λαμβάνουν, να αποφεύγουν το άνοιγμα ύποπτων συνημμένων ή συνδέσμων, ακόμη και αν φαίνονται να προέρχονται από αξιόπιστες πηγές. Η ενημέρωση και η προσοχή παραμένουν τα ισχυρότερα όπλα μας στον κυβερνοχώρο.
