PureCrypter

Een groep cybercriminelen heeft overheidsinstanties in de Azië-Pacific (APAC) en Noord-Amerikaanse regio's aangevallen met een malware-downloader genaamd PureCrypter. De cybercriminelen achter de aanval waren in staat om de systemen van deze organisaties te infiltreren en gevoelige informatie te verzamelen of, in sommige gevallen, hun systeem te gijzelen door het gebruik van ransomware. De ernst van de aanval wordt nog verergerd door het feit dat deze overheidsinstanties vaak gevoelige en geheime informatie opslaan, waardoor ze een belangrijk doelwit zijn voor cybercriminelen.

Beveiligingsonderzoekers ontdekten dat de bedreigingsactoren Discord uitbuitten om de initiële payload te hosten en ook een non-profitorganisatie in gevaar brachten als een manier om extra hosts te verzamelen die in de campagne werden gebruikt. Dit betekent dat de aanvallers een legitiem platform zoals Discord gebruikten om de initiële payload van de malware te verspreiden, waardoor het voor beveiligingssystemen moeilijk werd om deze te detecteren en te blokkeren. De malware staat bekend om het leveren van verschillende soorten malware, waaronder Redline Stealer, AgentTesla , Eternity , Blackmoon en Philadelphia Ransomware .

PureCrypter maakt deel uit van een meertraps aanvalsketen

De aanval die gebruikmaakt van de PureCrypter-malwaredownloader wordt gestart met een e-mail die een Discord-toepassings-URL bevat. Deze URL leidt naar een PureCrypter-voorbeeld dat is opgenomen in een met een wachtwoord beveiligd ZIP-archief. PureCrypter is een malware-downloader die werkt op .NET-gebaseerde systemen. De exploitant verhuurt het aan andere cybercriminelen om verschillende soorten malware te verspreiden. Zodra de PureCrypter is uitgevoerd, haalt het de volgende fase payload op en levert het van een Command-and-Control (C2, C&C) server. In dit specifieke geval was de Command and Control-server die door de bedreigingsactoren werd gebruikt, de gecompromitteerde server van een non-profitorganisatie.

Het door de onderzoekers geanalyseerde monster was AgentTesla, een type malware dat informatie verzamelt van de computer van het slachtoffer. Eenmaal gestart, maakt AgentTesla een verbinding met een in Pakistan gevestigde FTP-server om de verzamelde gegevens te verzenden. Wat interessant is, is dat de bedreigingsactoren niet hun eigen FTP-server hebben opgezet, maar eerder gelekte inloggegevens hebben gebruikt om de controle over een bestaande over te nemen. Door een reeds gecompromitteerde server te gebruiken, verminderen ze de risico's om geïdentificeerd te worden en minimaliseren ze hun traceerbaarheid.

AgentTesla blijft een bedreigend hulpmiddel voor cybercriminelen

AgentTesla is een type .NET-malware dat de afgelopen acht jaar door cybercriminelen is gebruikt, met een piek in gebruik eind 2020 en begin 2021. Ondanks zijn leeftijd blijft AgentTesla een zeer capabele en kosteneffectieve achterdeur die voortdurend wordt door de jaren heen ontwikkeld en verbeterd.

Een van de belangrijkste mogelijkheden van AgentTesla is de mogelijkheid om de toetsaanslagen van het slachtoffer te loggen, waardoor cybercriminelen gevoelige informatie, zoals wachtwoorden, kunnen stelen. De malware kan ook wachtwoorden verzamelen die zijn opgeslagen in FTP-clients, webbrowsers of e-mailclients. Bovendien kan AgentTesla screenshots maken van de desktop van het slachtoffer, waardoor mogelijk vertrouwelijke informatie wordt onthuld. Het kan ook alle gegevens openen en onderscheppen die naar het klembord van het systeem zijn gekopieerd, inclusief teksten, wachtwoorden en creditcardgegevens. Eenmaal verzameld, kunnen de gegevens worden geëxfiltreerd naar de Command and Control (C2)-server via FTP of SMTP.

Bij de PureCrypter-aanvallen gebruikten de bedreigingsactoren een techniek genaamd "process hollowing" om de AgentTesla-payload te injecteren in een legitiem proces genaamd 'cvtres.exe'. Deze techniek helpt detectie door beveiligingstools te omzeilen.

Om ervoor te zorgen dat de communicatie met de C2-server en configuratiebestanden niet worden gedetecteerd door hulpprogramma's voor het monitoren van netwerkverkeer, gebruikt AgentTesla de XOR-codering. Deze versleutelingsmethode maakt het voor beveiligingssystemen moeilijk om de communicatie van de malware met de C2-server te detecteren, waardoor het een uitdaging is om de dreiging te detecteren en te beperken.