PureCrypter

Un gruppo di criminali informatici ha attaccato entità governative nelle regioni dell'Asia-Pacifico (APAC) e del Nord America con un downloader di malware chiamato PureCrypter. I criminali informatici dietro l'attacco sono stati in grado di infiltrarsi nei sistemi di queste organizzazioni e raccogliere informazioni sensibili o, in alcuni casi, tenere in ostaggio il loro sistema attraverso l'uso di ransomware. La gravità dell'attacco è aggravata dal fatto che queste entità governative spesso archiviano informazioni riservate e classificate, rendendole i bersagli principali dei criminali informatici.

I ricercatori di sicurezza hanno scoperto che gli attori delle minacce hanno sfruttato Discord per ospitare il payload iniziale e hanno anche compromesso un'organizzazione senza scopo di lucro come un modo per raccogliere host aggiuntivi utilizzati nella campagna. Ciò significa che gli aggressori hanno utilizzato una piattaforma legittima come Discord per distribuire il payload iniziale del malware, rendendo difficile per i sistemi di sicurezza rilevarlo e bloccarlo. Il malware è noto per fornire diversi ceppi di malware, tra cui Redline Stealer, AgentTesla , Eternity , Blackmoon e Philadelphia Ransomware .

PureCrypter fa parte di una catena di attacchi a più fasi

L'attacco che utilizza il downloader di malware PureCrypter viene avviato con un'e-mail che contiene un URL dell'applicazione Discord. Questo URL conduce a un campione di PureCrypter contenuto in un archivio ZIP protetto da password. PureCrypter è un downloader di malware che opera su sistemi basati su .NET. Il suo operatore lo affitta ad altri criminali informatici allo scopo di distribuire vari tipi di malware. Una volta eseguito, PureCrypter recupera e consegna il payload della fase successiva da un server Command-and-Control (C2, C&C). In questo caso specifico, il server di comando e controllo utilizzato dagli attori della minaccia era il server compromesso di un'organizzazione senza scopo di lucro.

Il campione analizzato dai ricercatori era AgentTesla, un tipo di malware che raccoglie informazioni dal computer della vittima. Una volta avviato, AgentTesla stabilisce una connessione a un server FTP con sede in Pakistan per inviare i dati raccolti. La cosa interessante è che gli attori delle minacce non hanno impostato il proprio server FTP, ma piuttosto hanno utilizzato credenziali trapelate per assumere il controllo di uno esistente. Utilizzando un server già compromesso, riducono i rischi di essere identificati e minimizzano la loro traccia.

AgentTesla rimane uno strumento criminale informatico minaccioso

AgentTesla è un tipo di malware .NET che è stato utilizzato dai criminali informatici negli ultimi otto anni, con un picco di utilizzo tra la fine del 2020 e l'inizio del 2021. Nonostante la sua età, AgentTesla rimane una backdoor altamente capace ed economica che è stata continuamente sviluppato e migliorato nel corso degli anni.

Una delle funzionalità chiave di AgentTesla è la capacità di registrare i tasti premuti dalla vittima, consentendo ai criminali informatici di acquisire informazioni sensibili, come le password. Il malware può anche raccogliere password salvate in client FTP, browser Web o client di posta elettronica. Inoltre, AgentTesla può acquisire schermate del desktop della vittima, rivelando potenzialmente informazioni riservate. Può anche accedere e intercettare tutti i dati copiati negli appunti del sistema, inclusi testi, password e dettagli della carta di credito. Una volta raccolti, i dati possono essere esfiltrati al server Command and Control (C2) tramite FTP o SMTP.

Negli attacchi PureCrypter, gli autori delle minacce hanno utilizzato una tecnica chiamata "process hollowing" per inserire il payload di AgentTesla in un processo legittimo chiamato "cvtres.exe". Questa tecnica aiuta a eludere il rilevamento dagli strumenti di sicurezza.

Per proteggere le sue comunicazioni con il server C2 e i file di configurazione dal rilevamento da parte degli strumenti di monitoraggio del traffico di rete, AgentTesla utilizza la crittografia XOR. Questo metodo di crittografia rende difficile per i sistemi di sicurezza rilevare la comunicazione del malware con il server C2, rendendolo una minaccia difficile da rilevare e mitigare.