Mensajes que fingían ser de la policía resultaron ser una trampa: cómo una imagen aparentemente inocente vacía cuentas bancarias
Delincuentes aprenden a ocultar virus en lugares insospechados.
Una nueva campaña de ciberataques, registrada por los investigadores de Fortinet FortiGuard Labs, se hace pasar por notificaciones de la Policía Nacional de Ucrania y utiliza un método inusual de entrega de malware. Los atacantes envían correos con archivos adjuntos en formato SVG que desencadenan una cadena de descarga de CountLoader, seguido de Amatera Stealer y del minero sigiloso PureMiner.
El mecanismo de ataque es multinivel. El destinatario recibe un mensaje con un adjunto supuestamente enviado por las fuerzas del orden ucranianas. En su interior hay un archivo SVG con código HTML incrustado que redirige a la víctima a la descarga de un archivo ZIP protegido por contraseña.
En el archivo ZIP hay un archivo CHM del sistema de ayuda de Windows, cuya apertura activa CountLoader. Este cargador es conocido por los análisis de la empresa Silent Push y suele emplearse para desplegar Cobalt Strike, AdaptixC2 y el RAT PureHVNC. En este caso distribuye Amatera Stealer y PureMiner.
Amatera Stealer es una modificación de ACRStealer. Recopila características del sistema, copia archivos con determinadas extensiones, extrae datos de navegadores basados en Chromium y Gecko, y también obtiene credenciales de Steam, Telegram, FileZilla y monederos de criptomonedas.
PureMiner, creado en .NET, se ejecuta como un proceso sin archivos, minando criptomonedas sin que el usuario lo note. Para ocultarse emplea compilación Ahead-of-Time con sustitución de procesos o la carga en memoria mediante PythonMemoryModule.
La autoría del conjunto de herramientas maliciosas merece una mención aparte. PureMiner y el RAT PureHVNC pertenecen a una familia desarrollada bajo el seudónimo PureCoder. Entre sus otros productos están PureCrypter, que oculta ejecutables .NET y nativos; PureRAT (ResolverRAT), que reemplazó a PureHVNC; PureLogs para el robo y registro de datos; BlueLoader, que convierte sistemas infectados en una botnet controlada; y PureClipper, que sustituye las direcciones de criptomonedas en el portapapeles para redirigir transferencias.
Fortinet subraya que el uso de archivos SVG como sustitutos de documentos HTML hace que este tipo de ataques sea especialmente peligroso. Los destinatarios no esperan una amenaza en formato gráfico y, por tanto, abren el adjunto sin sospechar.
En este caso, esta técnica permitió iniciar de forma imperceptible la descarga y el posterior despliegue de CountLoader, seguido de la instalación de las herramientas furtivas de PureCoder.