研究人员披露传播 CountLoader 与 PureRAT 的钓鱼威胁

近期发现一场新的钓鱼攻击活动，攻击者伪装成乌克兰政府机构，通过钓鱼邮件分发 CountLoader 恶意程序，进而植入 Amatera Stealer（窃取程序）与 PureMiner（挖矿程序）。

“钓鱼邮件中包含恶意可缩放矢量图形（SVG）文件，目的是诱骗收件人打开有害附件。”Fortinet 公司 FortiGuard 实验室研究员 Yurren Wan 在一份提交给《The Hacker News》的报告中表示。

根据该网络安全公司记录的攻击链，SVG 文件会触发下载一个受密码保护的 ZIP 压缩包，包内包含一个编译型 HTML 帮助文件（CHM 文件）。运行该 CHM 文件后，会触发一系列操作，最终部署 CountLoader 恶意程序。而钓鱼邮件则谎称是 “乌克兰国家警察局” 发出的通知。

CountLoader 此前已被安全公司 Silent Push 分析过，当时发现它可植入多种恶意载荷（如 Cobalt Strike、AdaptixC2、PureHVNC 远程访问木马（RAT））。但在本次攻击链中，它被用作 “分发载体”，专门传播 Amatera Stealer（ACRStealer 的变种，一款信息窃取程序）与 PureMiner（一款隐蔽的.NET cryptocurrency 挖矿程序）。

PureCoder 威胁 actor 的恶意软件套件

值得注意的是，PureHVNC RAT 与 PureMiner 均来自一个名为PureCoder的威胁 actor 开发的恶意软件套件。该开发者还开发了以下多款恶意工具：

1. PureCrypter：针对原生程序（Native）与.NET 程序的加密工具，用于隐藏恶意代码以躲避检测；
2. PureRAT（又称 ResolverRAT）：PureHVNC RAT 的升级版，功能更完善的远程访问木马；
3. PureLogs：兼具信息窃取与日志记录功能的恶意程序；
4. BlueLoader：可作为僵尸网络（botnet）的恶意软件，能远程下载并执行其他恶意载荷；
5. PureClipper：剪贴板劫持恶意程序，会将用户复制的 cryptocurrency 钱包地址替换为攻击者控制的地址，从而窃取转账资金。

根据 Fortinet 的研究，Amatera Stealer 与 PureMiner 均以 “无文件（fileless）威胁” 形式部署 —— 这类恶意软件不依赖本地文件存储，而是通过两种方式执行：

1. 借助.NET 提前编译（AOT）技术，结合 “进程注入（process hollowing）” 技术执行；
2. 通过 PythonMemoryModule 工具直接加载到内存中运行。

Amatera Stealer 运行后会执行以下操作：

1. 收集受感染设备的系统信息；
2. 搜索并窃取符合 “预定义扩展名列表” 的文件；
3. 从基于 Chromium 内核（如 Chrome、Edge）与 Gecko 内核（如 Firefox）的浏览器中窃取数据；
4. 窃取多款应用程序的敏感信息，包括 Steam 游戏平台、Telegram 即时通讯软件、FileZilla FTP 工具，以及各类 cryptocurrency 钱包。

Fortinet 指出：“此次钓鱼活动表明，恶意 SVG 文件可作为 HTML 文件的替代品，触发完整的感染链。” 在本次攻击中，攻击者以乌克兰政府机构为目标，发送包含 SVG 附件的钓鱼邮件，而 SVG 文件中嵌入的 HTML 代码会将受害者重定向至恶意下载站点。

另一波传播 PureRAT 的钓鱼活动

与此同时，安全公司 Huntress 还发现一个疑似以越南语为母语的威胁团伙，正通过 “版权侵权通知” 主题的钓鱼邮件实施攻击：诱骗收件人打开 ZIP 压缩包，进而部署 PXA Stealer；随后 PXA Stealer 会启动多层感染流程，最终植入 PureRAT。

安全研究员 James Northey 分析称：“该攻击活动呈现出清晰且有预谋的递进逻辑 —— 从简单的钓鱼诱饵开始，逐步升级为内存加载器、防御规避技术、凭证窃取，最终达成目标。作为攻击终点的 PureRAT，是一款模块化、专业化开发的后门程序，能让攻击者完全控制受攻陷的主机。”

“该团伙的技术演进也值得关注：从最初对 Python 恶意载荷的‘业余级混淆’，到如今滥用 PureRAT 这类成熟的商品化恶意软件，这不仅体现了他们的持续活跃，更标志着其已成为一个‘严肃且不断成熟’的攻击组织。”

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；