رصد باحثو الأمن حملة تصيّد تزيّفت بصيغة إشعارات صادرة عن جهات حكومية أو الشرطة الوطنية الأوكرانية، تستغل مرفقات Scalable Vector Graphics (SVG) خبيثة لخداع المستلمين وبدء سلسلة إصابة. استُخدمت ملفات SVG لتحفيز تنزيل أرشيف ZIP محمي بكلمة مرور يحتوي بدوره على ملف Compiled HTML Help (CHM)، وعند تشغيله تنطلق سلسلة من الأحداث culminate تؤدي في النهاية إلى نشر CountLoader.
CountLoader كمنصة توزيع لسرقات العملة والتعدين
وفق تحليلات Fortinet FortiGuard Labs، يعمل CountLoader كحامل لتسليم حمولات متعددة؛ في الحملة الحالية تم استخدامه لنشر Amatera Stealer (نسخة من ACRStealer) وPureMiner، مُعدّ تعدين عملات خفيّ مكتوب بـ.NET. Amatera Stealer يجمع معلومات النظام، يستخرج ملفات وفق لائحة امتدادات محدّدة، ويسرق بيانات من مستعرضات مبنية على Chromium وGecko ومن تطبيقات مثل Steam وTelegram وFileZilla ومحافظ العملات المشفّرة. وذكرت Fortinet أن كلّاً من Amatera وPureMiner نُشرا كتهديدات بلا ملفات (fileless) عبر .NET AOT أو عن طريق تحميلها في الذاكرة عبر PythonMemoryModule أو تقنيات hollowing.
PureCoder ومجموعة أدواته المتكاملة
أوضحت الشركة أن بعض الحمُولات تنتمي إلى مجموعة مطوّر وحيدة تُعرف بـ PureCoder، والتي تطور حزمة متكاملة تتضمن:
PureCrypter (مُشفّر للـ Native و.NET)،
PureRAT / ResolverRAT (خلف PureHVNC)،
PureLogs (سارق سجلات ومعلومات)،
BlueLoader (لودر يُشغّل بوتنت ويحمّل حمولات عن بُعد)،
PureClipper (clipper يستبدل عناوين محافظ العملات بنُسخ المسيطر عليها من قبل المهاجمين).
في الحملة الموصوفة، يظهر PureRAT كالهُدف النهائي الذي يمنح المهاجم تحكّماً مرناً ومودولارياً بالمضيف المخترق.
تطوّر التكتيك وتعقّد السلاسل الهجومية
تستعرض هذه الحملة سلسلة تصعيد واضحة: من طُعم تصيّد بسيط قائم على SVG إلى أرشيف ZIP محمي، ثم CHM وCountLoader، ثم لودر/سارق/مُعدّن يعمل بالذاكرة. كما سجّل باحثون آخرون، مثل Huntress، نشاط مجموعات لغوية فيتنامية تستخدم مواضيع إنذارات حقوق طبع ونشر لخداع المستلمين إلى فتح أرشيفات ZIP، ما يؤدي في بعض الحالات إلى إطلاق PXA Stealer الذي يتدرج إلى نشر PureRAT. وبيّن باحثو الأمن أن المهاجمين تطوّروا من تشفير Python بدائي إلى اعتماد برمجيات متاحة تجارياً مثل PureRAT، ما يعكس نضجًا واحترافًا متزايدين في عملياتهم.
