رصد باحثو الأمن حملة تصيّد إلكتروني تُنتحل فيها هيئات حكومية أوكرانية لإقناع المستهدفين بفتح مرفقات ملوَّثة من نوع SVG، تؤدي إلى تنزيل أداة تحميل تُعرف باسم CountLoader، التي بدورها تفرّ تحميل حمولات خبيثة مثل Amatera Stealer وPureMiner. وأوضح باحثو Fortinet FortiGuard Labs أن رسائل البريد الاحتيالية تضمنت ملفات SVG مصممة لتوجيه الضحايا إلى أرشيف ZIP محمي بكلمة مرور، يضم ملفًا من نوع CHM يؤدي عند فتحه إلى تشغيل سلسلة تحميلات خبيثة.
CountLoader كسُلَّة توزيع لسرقة البيانات وتعدين العملات
سبق أن حلّل باحثو Silent Push CountLoader، الذي يتّسم بكونه وسيطًا يقوم بإنزال برمجيات متعددة مثل Cobalt Strike وAdaptixC2 وPureHVNC RAT. في هذا المسار الهجومي، يعمل CountLoader كقناة لتوزيع Amatera Stealer (متغيّر من ACRStealer) وPureMiner، وهما يتم تشغيلهما على شكل تهديدات غير ملفّية (fileless) عبر تقنيات مثل .NET Ahead-of-Time (AOT) compilation مع استنساخ عمليات (process hollowing)، أو تحميل مباشر في الذاكرة بواسطة PythonMemoryModule.
عائلة PureCoder: PureRAT وملفّاتها المتنوِّعة
تنتمي PureMiner وPureHVNC إلى مجموعة أدوات أكبر طوّرها فاعل تهديد يُعرف باسم PureCoder، وتضم منتجات أخرى مثل:
-
PureCrypter (مشفّر لبرامج Native و.NET)
-
PureRAT (ResolverRAT) — خليفة PureHVNC RAT
-
PureLogs — سارق سجلات ومعلومات
-
BlueLoader — ناقل حمولات يعمل كشبكة بوتنت
-
PureClipper — برنامج قصّاص يستبدل عناوين محافظ العملات المشفرة على الحافظة بعناوين يتحكّم بها المهاجم لاستنزاف الأموال
وقد أشار تقرير Fortinet إلى أن Amatera Stealer يجمع معلومات النظام، ويستخرج ملفات بحسب امتدادات معدّة سلفًا، وينهش بيانات متصفحات مبنية على Chromium وGecko، بالإضافة إلى تطبيقات مثل Steam وTelegram وFileZilla وأنواع محافظ العملات المشفرة.
نشاط موازٍ يستهدف فيتنام بأسلوب متدرِّج يؤدي إلى PureRAT
في سياق موازٍ، رصدت شركة Huntress حملة تستهدف جهات ناطقة بالفيتنامية تستخدم رسائل تصيّد تحمل موضوعات انتهاك حقوق الطبع؛ والهدف فيها دفع المستلمين لفتح أرشيفات ZIP ما يؤدي إلى نشر PXA Stealer ثم تصعيد السلسلة إلى تحميل وتفعيل PureRAT. وذكر الباحثون أن مسار العدوى يتدرّج من طُعم بسيط إلى طبقات تحميل في الذاكرة، ومراوغات لإفلات من كشف الدفاعات، وصولًا إلى سرقة بيانات الاعتماد وتشغيل باك دورات متطوّرة.
