Εκπτώσεις πολλαπλών αδειών
Threat Database Malware PureCrypter

PureCrypter

Μέχρι το Mezo το Malware, Backdoors, Trojan Downloader
Μετάφραση σε:
Ελληνικά

Μια ομάδα κυβερνοεγκληματιών επιτίθεται σε κυβερνητικές οντότητες στις περιοχές της Ασίας-Ειρηνικού (APAC) και της Βόρειας Αμερικής με ένα πρόγραμμα λήψης κακόβουλου λογισμικού που ονομάζεται PureCrypter. Οι κυβερνοεγκληματίες πίσω από την επίθεση μπόρεσαν να διεισδύσουν στα συστήματα αυτών των οργανισμών και να συλλέξουν ευαίσθητες πληροφορίες ή, σε ορισμένες περιπτώσεις, να κρατήσουν όμηρο το σύστημά τους μέσω της χρήσης ransomware. Η σοβαρότητα της επίθεσης επιδεινώνεται από το γεγονός ότι αυτές οι κυβερνητικές οντότητες συχνά αποθηκεύουν ευαίσθητες και απόρρητες πληροφορίες, καθιστώντας τους πρωταρχικούς στόχους για εγκληματίες του κυβερνοχώρου.

Οι ερευνητές ασφαλείας ανακάλυψαν ότι οι παράγοντες απειλών εκμεταλλεύτηκαν το Discord για να φιλοξενήσουν το αρχικό ωφέλιμο φορτίο και επίσης παραβίασαν έναν μη κερδοσκοπικό οργανισμό ως τρόπο να συγκεντρώσουν επιπλέον κεντρικούς υπολογιστές που χρησιμοποιούνται στην καμπάνια. Αυτό σημαίνει ότι οι εισβολείς χρησιμοποίησαν μια νόμιμη πλατφόρμα όπως το Discord για να διανείμουν το αρχικό ωφέλιμο φορτίο του κακόβουλου λογισμικού, καθιστώντας δύσκολο για τα συστήματα ασφαλείας να το εντοπίσουν και να το αποκλείσουν. Το κακόβουλο λογισμικό είναι γνωστό ότι παρέχει πολλά διαφορετικά στελέχη κακόβουλου λογισμικού, όπως το Redline Stealer, το AgentTesla , το Eternity , το Blackmoon και το Philadelphia Ransomware .

Το PureCrypter είναι μέρος μιας αλυσίδας επιθέσεων πολλαπλών σταδίων

Η επίθεση που χρησιμοποιεί το πρόγραμμα λήψης κακόβουλου λογισμικού PureCrypter ξεκινά με ένα email που περιέχει μια διεύθυνση URL εφαρμογής Discord. Αυτή η διεύθυνση URL οδηγεί σε ένα δείγμα PureCrypter που περιέχεται σε ένα αρχείο ZIP που προστατεύεται με κωδικό πρόσβασης. Το PureCrypter είναι ένα πρόγραμμα λήψης κακόβουλου λογισμικού που λειτουργεί σε συστήματα που βασίζονται σε .NET. Ο χειριστής του το νοικιάζει σε άλλους εγκληματίες του κυβερνοχώρου με σκοπό τη διανομή διαφόρων τύπων κακόβουλου λογισμικού. Μόλις εκτελεστεί το PureCrypter, ανακτά και παραδίδει το ωφέλιμο φορτίο επόμενου σταδίου από έναν διακομιστή Command-and-Control (C2, C&C). Στη συγκεκριμένη περίπτωση, ο διακομιστής Command and Control που χρησιμοποιήθηκε από τους φορείς απειλών ήταν ο παραβιασμένος διακομιστής ενός μη κερδοσκοπικού οργανισμού.

Το δείγμα που αναλύθηκε από τους ερευνητές ήταν το AgentTesla, ένα είδος κακόβουλου λογισμικού που συλλέγει πληροφορίες από τον υπολογιστή του θύματος. Μόλις εκκινηθεί, το AgentTesla δημιουργεί μια σύνδεση με έναν διακομιστή FTP με έδρα το Πακιστάν για την αποστολή των συλλεγόμενων δεδομένων. Αυτό που είναι ενδιαφέρον είναι ότι οι φορείς απειλών δεν δημιούργησαν τον δικό τους διακομιστή FTP, αλλά χρησιμοποίησαν διαπιστευτήρια που διέρρευσαν για να πάρουν τον έλεγχο ενός υπάρχοντος διακομιστή. Χρησιμοποιώντας έναν ήδη παραβιασμένο διακομιστή, μειώνουν τους κινδύνους αναγνώρισης και ελαχιστοποιούν το ίχνος τους.

Το AgentTesla παραμένει ένα απειλητικό εργαλείο κυβερνοεγκληματικότητας

Το AgentTesla είναι ένας τύπος κακόβουλου λογισμικού. αναπτύχθηκε και βελτιώθηκε με τα χρόνια.

Μία από τις βασικές δυνατότητες του AgentTesla είναι η δυνατότητα καταγραφής των πληκτρολογήσεων του θύματος, επιτρέποντας στους εγκληματίες του κυβερνοχώρου να καταγράφουν ευαίσθητες πληροφορίες, όπως κωδικούς πρόσβασης. Το κακόβουλο λογισμικό μπορεί επίσης να συλλέγει κωδικούς πρόσβασης που είναι αποθηκευμένοι σε προγράμματα-πελάτες FTP, προγράμματα περιήγησης Ιστού ή προγράμματα-πελάτες ηλεκτρονικού ταχυδρομείου. Επιπλέον, το AgentTesla μπορεί να τραβήξει στιγμιότυπα οθόνης της επιφάνειας εργασίας του θύματος, αποκαλύπτοντας πιθανώς εμπιστευτικές πληροφορίες. Μπορεί επίσης να έχει πρόσβαση και να υποκλέψει οποιαδήποτε δεδομένα αντιγράφονται στο πρόχειρο του συστήματος, συμπεριλαμβανομένων κειμένων, κωδικών πρόσβασης και στοιχείων πιστωτικής κάρτας. Μόλις συλλεχθούν, τα δεδομένα μπορούν να διεξαχθούν στον διακομιστή Command and Control (C2) μέσω FTP ή SMTP.

Στις επιθέσεις PureCrypter, οι φορείς απειλών χρησιμοποίησαν μια τεχνική που ονομάζεται "διαβάθμιση διαδικασίας" για να εισάγουν το ωφέλιμο φορτίο AgentTesla σε μια νόμιμη διαδικασία που ονομάζεται "cvtres.exe". Αυτή η τεχνική βοηθά στην αποφυγή εντοπισμού από εργαλεία ασφαλείας.

Για να μην εντοπίζονται ασφαλείς οι επικοινωνίες του με τον διακομιστή C2 και τα αρχεία διαμόρφωσης από τα εργαλεία παρακολούθησης της κυκλοφορίας δικτύου, το AgentTesla χρησιμοποιεί την κρυπτογράφηση XOR. Αυτή η μέθοδος κρυπτογράφησης καθιστά δύσκολο για τα συστήματα ασφαλείας να ανιχνεύσουν την επικοινωνία του κακόβουλου λογισμικού με τον διακομιστή C2, καθιστώντας τον μια πρόκληση για τον εντοπισμό και τον μετριασμό της απειλής.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
15,882
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...