FortiGuard Labs (Fortinet) publie une analyse d’une campagne ciblée usurpant des agences gouvernementales ukrainiennes, combinant SVG malveillants, archives protégées par mot de passe et une chaîne d’exécution CHM/HTA pour déployer Amatera Stealer et PureMiner.
• Vecteur initial et leurre: Des emails falsifiés contiennent des pièces jointes SVG intégrant des iframes HTML qui redirigent les victimes vers des téléchargements d’archives protégées par mot de passe.
• Chaîne d’infection: Les archives livrent un fichier CHM qui exécute un HTA distant via CountLoader (avec six commandes supportées pour la livraison de charges). Deux méthodes sont décrites: 1) ergosystem.zip utilise la compilation .NET AOT avec process hollowing pour déployer PureMiner; 2) smtpB.zip s’appuie sur PythonMemoryModule pour l’exécution fileless d’Amatera Stealer.
• Capacités des charges: PureMiner réalise une reconnaissance matérielle via les API AMD/NVIDIA et déploie des modules de minage. Amatera Stealer collecte de vastes informations système, identifiants et données de portefeuilles de cryptomonnaies, en ciblant les navigateurs Gecko et Chromium, des wallets desktop et diverses applications, avec déchiffrement des cookies « legacy » et des données App-Bound Encrypted.
• Techniques d’évasion: La campagne met en œuvre des techniques avancées, dont process hollowing, exécution en mémoire uniquement et tactiques fileless, pour réduire les traces sur disque et contourner la détection.
Type d’article: analyse de menace basée sur la recherche de FortiGuard Labs 🎯
🧠 TTPs détectés
TTPs
T1566.001 (Spearphishing Attachment), T1204.002 (User Execution: Malicious File), T1203 (Exploitation for Client Execution), T1059.005 (Command and Scripting Interpreter: Visual Basic), T1027 (Obfuscated Files or Information), T1055.012 (Process Hollowing), T1105 (Ingress Tool Transfer), T1110 (Brute Force), T1083 (File and Directory Discovery), T1005 (Data from Local System), T1555 (Credentials from Password Stores), T1218.001 (Signed Binary Proxy Execution: Compiled HTML File), T1027.002 (Obfuscated Files or Information: Software Packing), T1600 (Weaken Encryption), T1574.002 (Hijack Execution Flow: DLL Side-Loading), T1059.007 (Command and Scripting Interpreter: JavaScript), T1562.001 (Impair Defenses: Disable or Modify Tools), T1070.004 (Indicator Removal on Host: File Deletion)
🔗 Source originale : https://www.fortinet.com/blog/threat-research/svg-phishing-hits-ukraine-with-amatera-stealer-pureminer