Pesquisadores expõem ameaças de phishing SVG e PureRAT direcionadas à Ucrânia e Vietnã

Uma nova campanha de phishing foi identificada imitando agências governamentais ucranianas para distribuir CountLoader, que por sua vez instala Amatera Stealer e PureMiner.

Os e-mails de phishing contêm arquivos SVG maliciosos que disparam o download de um arquivo ZIP protegido por senha. Esse arquivo contém um CHM que inicia uma cadeia de infecção culminando no CountLoader.

O CountLoader serve como vetor de distribuição para:

• Amatera Stealer: variante do ACRStealer que coleta informações do sistema, arquivos e dados de navegadores e aplicativos como Steam, Telegram e carteiras de criptomoedas
• PureMiner: minerador de criptomoedas .NET stealth

Ambas as ameaças são implantadas como malware fileless, executado via compilação .NET AOT com process hollowing.

Família PureCoder

PureMiner e PureHVNC RAT fazem parte de um conjunto maior de malware desenvolvido pela ameaça PureCoder, que inclui:

• PureCrypter (cryptor para Native e .NET)
• PureRAT (sucessor do PureHVNC RAT)
• PureLogs (information stealer)
• BlueLoader (botnet)
• PureClipper (substitui endereços de criptomoedas no clipboard)

Campanha paralela no Vietnã

Separadamente, o Huntress descobriu um grupo de ameaça de língua vietnamita usando e-mails de phishing com temas de violação de direitos autorais para distribuir PXA Stealer, que evolui para uma sequência de infecção multi-camadas que instala o PureRAT.

Os pesquisadores observam que esta campanha demonstra uma progressão deliberada de técnicas, indicando um operador sério e em amadurecimento.