PureCrypter

Un grup de ciberdelinqüents ha estat atacant entitats governamentals a les regions d'Àsia-Pacífic (APAC) i d'Amèrica del Nord amb un descarregador de programari maliciós anomenat PureCrypter. Els ciberdelinqüents darrere de l'atac van poder infiltrar-se en els sistemes d'aquestes organitzacions i recollir informació sensible o, en alguns casos, mantenir el seu sistema com a ostatge mitjançant l'ús de programari ransom. La gravetat de l'atac es veu agreujada pel fet que aquestes entitats governamentals sovint emmagatzemen informació sensible i classificada, cosa que els converteix en els principals objectius dels ciberdelinqüents.

Els investigadors de seguretat van descobrir que els actors de l'amenaça van explotar Discord per allotjar la càrrega útil inicial i també van comprometre una organització sense ànim de lucre com una manera d'aconseguir amfitrions addicionals utilitzats a la campanya. Això vol dir que els atacants van utilitzar una plataforma legítima com Discord per distribuir la càrrega útil inicial del programari maliciós, cosa que dificultava que els sistemes de seguretat el detectessin i el bloquegessin. El programari maliciós és conegut per oferir diverses varietats de programari maliciós, com ara Redline Stealer, AgentTesla , Eternity , Blackmoon i Philadelphia Ransomware .

PureCrypter forma part d'una cadena d'atac en diverses etapes

L'atac que utilitza el descarregador de programari maliciós PureCrypter s'inicia amb un correu electrònic que conté una URL de l'aplicació Discord. Aquest URL condueix a una mostra de PureCrypter que es troba dins d'un arxiu ZIP protegit amb contrasenya. PureCrypter és un descarregador de programari maliciós que funciona en sistemes basats en .NET. El seu operador el lloga a altres ciberdelinqüents amb la finalitat de distribuir diversos tipus de programari maliciós. Un cop executat el PureCrypter, obté i lliura la càrrega útil de la següent etapa des d'un servidor d'ordres i control (C2, C&C). En aquest cas concret, el servidor de comandament i control utilitzat pels actors de l'amenaça era el servidor compromès d'una organització sense ànim de lucre.

La mostra analitzada pels investigadors va ser AgentTesla, un tipus de programari maliciós que recopila informació de l'ordinador de la víctima. Un cop llançat, AgentTesla estableix una connexió amb un servidor FTP basat en Pakistan per enviar les dades recollides. El que és interessant és que els actors de l'amenaça no van configurar el seu propi servidor FTP, sinó que van utilitzar credencials filtrades per prendre el control d'un existent. Mitjançant l'ús d'un servidor ja compromès, redueixen els riscos de ser identificats i minimitzen el seu rastre.

AgentTesla segueix sent una eina cibercriminal amenaçadora

AgentTesla és un tipus de programari maliciós .NET que ha estat utilitzat pels ciberdelinqüents durant els darrers vuit anys, amb un màxim d'ús a finals de 2020 i principis de 2021. Malgrat la seva antiguitat, AgentTesla segueix sent una porta posterior altament capaç i rendible que ha estat contínuament. desenvolupat i millorat al llarg dels anys.

Una de les capacitats clau d'AgentTesla és la capacitat de registrar les pulsacions de tecla de la víctima, permetent als ciberdelinqüents capturar informació sensible, com ara contrasenyes. El programari maliciós també pot recopilar contrasenyes que es guarden en clients FTP, navegadors web o clients de correu electrònic. A més, AgentTesla pot capturar captures de pantalla de l'escriptori de la víctima, potencialment revelant informació confidencial. També pot accedir i interceptar qualsevol dada que es copie al porta-retalls del sistema, inclosos els textos, les contrasenyes i els detalls de la targeta de crèdit. Un cop recollides, les dades es poden exfiltrar al servidor de comandament i control (C2) mitjançant FTP o SMTP.

En els atacs de PureCrypter, els actors de l'amenaça van utilitzar una tècnica anomenada "process hollowing" per injectar la càrrega útil d'AgentTesla en un procés legítim anomenat "cvtres.exe". Aquesta tècnica ajuda a evadir la detecció de les eines de seguretat.

Per evitar que les seves comunicacions amb el servidor C2 i els fitxers de configuració no siguin detectats per les eines de control del trànsit de xarxa, AgentTesla utilitza el xifratge XOR. Aquest mètode de xifratge dificulta que els sistemes de seguretat detectin la comunicació del programari maliciós amb el servidor C2, la qual cosa fa que sigui una amenaça difícil de detectar i mitigar.