كشف باحثو Fortinet FortiGuard Labs عن حملة تصيّد جديدة تستهدف أوكرانيا، حيث ينتحل المهاجمون صفة جهات حكومية مثل الشرطة الوطنية الأوكرانية. تتضمن رسائل البريد الاحتيالية ملفات SVG خبيثة مصممة لخداع الضحايا وفتح مرفقات ضارة. هذه الملفات تؤدي إلى تنزيل أرشيف ZIP محمي بكلمة مرور يحتوي على ملف CHM، والذي عند تشغيله يطلق سلسلة من الأحداث تنتهي بنشر أداة CountLoader.
CountLoader كقناة لتوزيع برمجيات خبيثة
أشارت أبحاث سابقة إلى أن CountLoader قادرة على نشر حمولة متنوعة مثل Cobalt Strike وAdaptixC2 وPureHVNC RAT. أما في هذه الحملة، فقد استُخدمت لتوزيع برمجيتين خبيثتين هما: Amatera Stealer (إحدى نسخ ACRStealer) وPureMiner (معدّن عملات رقمية متخفي مكتوب بلغة .NET).
أدوات PureCoder في قلب الهجوم
تبيّن أن هذه البرمجيات مرتبطة بمطوّر تهديد يُعرف باسم PureCoder، وهو المسؤول عن مجموعة من الأدوات الخبيثة، منها:
-
PureCrypter: أداة تشفير للبرمجيات الأصلية و .NET.
-
PureRAT: نسخة مطوّرة من PureHVNC RAT.
-
PureLogs: أداة لسرقة وتسجيل المعلومات.
-
BlueLoader: برمجية قادرة على إنشاء شبكة بوتنت.
-
PureClipper: برمجية تستبدل عناوين المحافظ الرقمية المنسوخة بعناوين يسيطر عليها المهاجمون.
بحسب Fortinet، يتم نشر Amatera Stealer وPureMiner كأسلحة عديمة الملفات (fileless)، حيث يجري تنفيذهما مباشرة في الذاكرة عبر تقنيات مثل .NET AOT مع إخفاء العمليات أو تحميلهما باستخدام PythonMemoryModule.
قدرات سرقة بيانات متقدمة
عقب تشغيله، يقوم Amatera Stealer بجمع معلومات النظام، وسرقة الملفات ذات الامتدادات المحددة، إضافة إلى بيانات المتصفحات المبنية على Chromium وGecko. كما يستهدف تطبيقات شائعة مثل Steam وTelegram وFileZilla والمحافظ الرقمية للعملات المشفّرة.
تصاعد وتيرة حملات PureRAT
في سياق متصل، كشفت شركة Huntress عن مجموعة تهديد ناطقة بالفيتنامية تستغل رسائل تصيّد تحمل موضوع إشعارات انتهاك حقوق الملكية لخداع الضحايا وتشغيل أرشيفات ZIP تؤدي إلى نشر PXA Stealer، الذي يطوّر لاحقاً سلسلة إصابة معقّدة تنتهي بإسقاط PureRAT.
وأوضح الباحث الأمني James Northey أن الحملة تُظهر تقدماً متعمداً من مجرد طُعم تصيّد بسيط وصولاً إلى باب خلفي احترافي هو PureRAT، والذي يمنح المهاجم سيطرة كاملة على الأجهزة المخترقة.
