Negli ultimi tempi, il panorama delle minacce informatiche ha visto emergere campagne di phishing sempre più sofisticate, come quella che prende di mira agenzie governative ucraine tramite file SVG malevoli. Questi attacchi iniziano con email di phishing che allegano file SVG manipolati per ingannare le vittime e indurle ad aprire archivi ZIP protetti da password. All’interno di questi archivi si trova un file CHM (Compiled HTML Help) che, una volta eseguito, dà il via a una catena di infezione culminante nell’installazione di CountLoader. Questo loader è noto per distribuire svariati payload, tra cui Cobalt Strike, AdaptixC2 e PureHVNC RAT, ma in questa campagna specifica viene utilizzato per diffondere Amatera Stealer e PureMiner.

Amatera Stealer e PureMiner

Amatera Stealer è una variante di ACRStealer e si occupa di raccogliere informazioni sensibili dal sistema, come dati dei browser, credenziali, file specifici, oltre a colpire applicazioni come Steam, Telegram, FileZilla e diversi wallet di criptovalute. PureMiner, invece, è un miner di criptovalute basato su .NET, progettato per operare in modo stealth e sfruttare le risorse del computer della vittima senza destare sospetti. Entrambi i malware vengono eseguiti in modalità fileless tramite tecniche di process hollowing e caricamento diretto in memoria, rendendo più difficile la loro individuazione da parte dei tradizionali software di sicurezza.

PureCoder e strumenti correlati

Questa suite di malware è stata attribuita a un attore malevolo noto come PureCoder, responsabile anche di altri strumenti dannosi come PureCrypter, PureRAT, PureLogs, BlueLoader e PureClipper. Questi strumenti permettono di condurre attività di furto di informazioni, controllo remoto, botnet e reindirizzamento di transazioni in criptovaluta.

Campagne simili e l’esempio vietnamita

Parallelamente, una campagna simile è stata individuata in Vietnam, dove un gruppo di criminali informatici utilizza email di phishing a tema violazione del copyright per diffondere archivi ZIP che portano all’installazione di PXA Stealer, seguito da una sequenza di infezioni che culminano con il deployment di PureRAT. PureRAT si distingue come backdoor modulare e professionale, in grado di garantire pieno controllo sul sistema compromesso.

Tali campagne mostrano una crescente maturità degli attori delle minacce, che evolvono rapidamente da semplici tecniche di offuscamento a catene di infezione multilivello e uso di malware commodity come PureRAT. Questo scenario sottolinea l’urgenza di rafforzare le difese contro il phishing e formare utenti e organizzazioni sui nuovi vettori di attacco basati su file SVG e loader avanzati.