Falsos avisos de la policía ucraniana difunden nuevos programas de robo de Amatera y PureMiner

Los hackers distribuyen correos electrónicos maliciosos que imitan avisos oficiales de la Policía Nacional de Ucrania. Esta campaña de phishing, identificada por FortiGuard Labs, se dirige a cualquier organización que utilice Microsoft Windows para comprometer sus sistemas con al menos dos nuevas cepas de malware, entre ellas Amatera Stealer y PureMiner.

Los ataques comienzan con un correo electrónico que incluye un archivo malicioso de gráficos vectoriales escalables ( SVG ). Para su información, un SVG es un formato de imagen simple, pero los atacantes explotan su código de texto para incrustar contenido dañino.

Los mensajes presionan al destinatario utilizando un lenguaje formal y legal, afirmando falsamente que una apelación está bajo revisión y advirtiendo que ignorar el aviso podría dar lugar a “más acciones legales”.

Cuando una víctima abre el archivo adjunto SVG, el archivo la engaña mostrando una pantalla falsa que dice: "Espere, su documento se está cargando...". Luego, inmediatamente obliga a la computadora a descargar uno de varios archivos ZIP protegidos con contraseña, incluidos ergosystem.zip o smtpB.zip , con la contraseña mostrada para que el proceso parezca confiable.

Dentro del archivo se encuentra un archivo de ayuda HTML compilado (CHM), que actúa como el principal detonante, lanzando un script malicioso llamado CountLoader. Este cargador, del que Hackread.com informó previamente, es un punto de entrada conocido, diseñado para distribuir múltiples programas dañinos.

En este caso, su función es conectarse a un servidor remoto, robar información básica del sistema y luego distribuir el malware final. Los investigadores se refieren a esto como una amenaza " sin archivos " porque la carga útil se carga directamente en la memoria del ordenador, lo que dificulta su detección.

Según la publicación del blog de FortiGuard Labs, CountLoader distribuye dos cargas útiles peligrosas: Amatera Stealer y PureMiner. Los investigadores explicaron en un informe compartido en exclusiva con Hackread.com que el criptominero PureMiner se distribuye mediante la instalación lateral de DLL desde ergosystem.zip , mientras que Amatera Stealer se implementa mediante un script malicioso de Python que se encuentra en smtpB.zip .

Amatera Stealer es una herramienta de recopilación de información que primero recopila información básica del sistema (como el nombre del equipo, los detalles del sistema operativo y el nombre de usuario) y el contenido actual del portapapeles. A continuación, ataca agresivamente la información guardada, incluyendo credenciales y archivos, de los navegadores Firefox y Chrome, aplicaciones de chat como Telegram y Discord, y programas como Steam, FileZilla y AnyDesk. También ataca archivos de las principales billeteras de criptomonedas de escritorio, como BitcoinCore, Exodus, Atomic y Electrum, y puede buscar estos archivos en hasta cinco carpetas.

Por otro lado, PureMiner es un criptominero que recopila información detallada del hardware, como las especificaciones de la tarjeta gráfica. Una vez instalado, PureMiner permite a los delincuentes usar en secreto la potencia del ordenador de la víctima (tanto la CPU como la GPU) para su propio beneficio económico, un proceso conocido como minería de criptomonedas.

El impacto general de este ataque se clasifica como de gravedad alta, ya que permite el control remoto, el robo de datos y el secuestro de recursos. Ante esta amenaza, se insta a los usuarios a mantener una estricta vigilancia de seguridad. Eviten abrir archivos adjuntos inesperados y verifiquen siempre las solicitudes urgentes no solicitadas a través de un canal de confianza independiente antes de hacer clic en los enlaces.