Falsi avvisi della polizia ucraina diffondono il nuovo Amatera Stealer e PureMiner

Gli hacker stanno diffondendo email dannose che imitano le comunicazioni ufficiali della Polizia Nazionale ucraina. Questa campagna di phishing, identificata da FortiGuard Labs, prende di mira qualsiasi organizzazione che utilizzi Microsoft Windows per comprometterne i sistemi con almeno due nuovi ceppi di malware, tra cui Amatera Stealer e PureMiner.

Gli attacchi iniziano con un'e-mail che include un file Scalable Vector Graphics ( SVG ) dannoso. Per vostra informazione, un SVG è un semplice formato immagine, ma gli aggressori sfruttano il suo codice testuale per incorporare contenuti dannosi.

I messaggi esercitano pressione sul destinatario utilizzando un linguaggio formale e legale, affermando falsamente che un ricorso è in fase di revisione e avvertendo che ignorare l'avviso potrebbe comportare "ulteriori azioni legali".

Quando una vittima apre l'allegato SVG, il file la inganna mostrando una schermata falsa che dice: "Attendi, il documento è in fase di caricamento...". Quindi forza immediatamente il computer a scaricare uno dei vari archivi ZIP protetti da password, tra cui ergosystem.zip o smtpB.zip , con la password visualizzata per far sembrare il processo affidabile.

All'interno dell'archivio è presente un file Compiled HTML Help (CHM), che funge da trigger principale, avviando uno script dannoso chiamato CountLoader. Questo loader, di cui Hackread.com ha già parlato , è un noto punto di ingresso progettato per distribuire più programmi dannosi.

In questo caso, il suo compito è connettersi a un server remoto, rubare alcuni dati di sistema di base e quindi distribuire il malware finale. I ricercatori si riferiscono a questa minaccia come " fileless " perché il payload viene caricato direttamente nella memoria del computer, rendendolo difficile da rilevare.

Secondo il post sul blog di FortiGuard Labs, CountLoader diffonde due payload pericolosi: Amatera Stealer e PureMiner. I ricercatori hanno spiegato in un rapporto condiviso in esclusiva con Hackread.com che il cryptominer PureMiner viene distribuito tramite il sideload DLL da ergosystem.zip , mentre Amatera Stealer viene distribuito tramite uno script Python dannoso presente in smtpB.zip .

Amatera Stealer è uno strumento di raccolta di informazioni che innanzitutto raccoglie informazioni di sistema di base (come nome del computer, dettagli del sistema operativo e nome utente) e il contenuto corrente degli appunti. Quindi prende di mira in modo aggressivo le informazioni salvate, tra cui credenziali e file, dai browser Firefox e Chrome, dalle app di chat come Telegram e Discord e da programmi come Steam, FileZilla e AnyDesk. Prende di mira anche i file dei principali wallet di criptovalute desktop, tra cui BitcoinCore, Exodus, Atomic ed Electrum, e può cercare questi file fino a cinque cartelle di profondità.

PureMiner, invece, è un cryptominer che raccoglie informazioni hardware dettagliate, come le specifiche della scheda video. Una volta installato, PureMiner consente ai criminali di utilizzare segretamente la potenza di calcolo del computer della vittima (sia CPU che GPU) a proprio vantaggio economico, un processo chiamato mining di criptovalute.

L'impatto complessivo di questo attacco è classificato come "Alto" in quanto consente il controllo remoto, il furto di dati e il dirottamento di risorse. Data questa minaccia, si raccomanda agli utenti di mantenere una forte consapevolezza della sicurezza. Evitare di aprire allegati inaspettati e verificare sempre le richieste urgenti e indesiderate tramite un canale attendibile separato prima di fare clic sui link.