网络钓鱼活动传播新型恶意软件

黑客正在分发冒充乌克兰国家警察官方通知的恶意电子邮件。FortiGuard实验室发现的这起网络钓鱼活动针对运行Microsoft Windows的任何组织，通过至少两种新型恶意软件入侵其系统，包括Amatera窃取器和PureMiner。

攻击传播机制

攻击始于包含恶意可缩放矢量图形(SVG)文件的电子邮件。SVG是一种简单的图像格式，但攻击者利用其基于文本的代码嵌入有害内容。这些邮件使用正式法律语言向收件人施压，虚假声称正在审理上诉，并警告忽略通知可能导致"进一步法律行动"。

当受害者打开SVG附件时，文件会显示虚假屏幕提示"请稍候，您的文档正在加载…"，然后立即强制计算机下载多个受密码保护的ZIP存档之一，包括ergosystem.zip或smtpB.zip，同时显示密码使过程看起来可信。

存档内包含编译的HTML帮助(CHM)文件，作为主要触发器，启动名为CountLoader的恶意脚本。这个加载器会连接远程服务器，窃取基本系统详细信息，然后传递最终恶意软件。研究人员称此为"无文件"威胁，因为有效负载直接加载到计算机内存中，难以检测。

数据窃取与劫持双重威胁

根据FortiGuard实验室的博客文章，CountLoader传递两个危险有效负载：Amatera窃取器和PureMiner。研究人员在独家分享给Hackread.com的报告中解释说，PureMiner加密货币挖矿程序通过ergosystem.zip的DLL侧加载传递，而Amatera窃取器通过smtpB.zip中的恶意Python脚本部署。

Amatera窃取器是信息收集工具，首先收集基本系统信息（如计算机名称、操作系统详细信息和用户名）和当前剪贴板内容。然后积极针对Firefox和Chrome浏览器、Telegram和Discord等聊天应用以及Steam、FileZilla和AnyDesk等程序中保存的信息（包括凭据和文件）进行窃取。它还针对主要桌面加密货币钱包的文件，包括BitcoinCore、Exodus、Atomic和Electrum，并可以搜索最多五个文件夹深度以查找这些文件。

另一方面，PureMiner是加密货币挖矿程序，收集详细的硬件信息，如显卡规格。一旦安装，PureMiner允许犯罪分子秘密使用受害者自己的计算机算力（CPU和GPU）谋取经济利益，这一过程称为加密货币挖矿。

安全建议

此攻击的总体影响被评为高严重性，因为它允许远程控制、数据窃取和资源劫持。鉴于这种威胁，敦促用户保持强烈的安全意识。避免打开意外附件，在点击链接之前始终通过单独的受信任渠道验证紧急的未经请求的请求。