PureCrypter

Um grupo de cibercriminosos tem atacado entidades governamentais nas regiões da Ásia-Pacífico (APAC) e da América do Norte com um downloader de malware chamado PureCrypter. Os cibercriminosos por trás do ataque conseguiram se infiltrar nos sistemas dessas organizações e coletar informações confidenciais ou, em alguns casos, manter o sistema como refém por meio do uso de ransomware. A gravidade do ataque é agravada pelo fato de que essas entidades governamentais geralmente armazenam informações confidenciais e classificadas, tornando-as os principais alvos dos cibercriminosos.

Os pesquisadores de segurança descobriram que os agentes de ameaças exploraram o Discord para hospedar a carga inicial e também comprometeram uma organização sem fins lucrativos como forma de obter hosts adicionais usados na campanha. Isso significa que os invasores usaram uma plataforma legítima como o Discord para distribuir a carga inicial do malware, tornando difícil para os sistemas de segurança detectá-lo e bloqueá-lo. O malware é conhecido por fornecer vários tipos diferentes de malware, incluind o Redline Stealer, AgentTesla, Eternity, Blackmoon e o Philadelphia Ransomware.

O PureCrypter Faz Parte de uma Cadeia de Ataque de Vários Estágios

O ataque que utiliza o downloader de malware PureCrypter é iniciado com um e-mail que contém um URL de aplicativo Discord. Essa URL leva a uma amostra do PureCrypter que está contida em um arquivo ZIP protegido por senha. O PureCrypter é um downloader de malware que opera em sistemas baseados em .NET. Seu operador o aluga para outros cibercriminosos com o objetivo de distribuir vários tipos de malware. Depois que o PureCrypter é executado, ele busca e entrega a carga útil do próximo estágio de um servidor de comando e controle (C2, C&C). Nesse caso específico, o servidor de Comando e Controle usado pelos invasores era o servidor comprometido de uma organização sem fins lucrativos.

A amostra analisada pelos pesquisadores foi o AgentTesla, um tipo de malware que coleta informações do computador da vítima. Uma vez iniciado, o AgentTesla estabelece uma conexão com um servidor FTP baseado no Paquistão para enviar os dados coletados. O interessante é que os agentes de ameaças não configuraram seu próprio servidor FTP, mas usaram credenciais vazadas para assumir o controle de um já existente. Ao usar um servidor já comprometido, eles reduzem os riscos de serem identificados e minimizam seu rastreamento.

O AgentTesla Continua sendo uma Ferramenta Cibercriminosa Ameaçadora

O AgentTesla é um tipo de malware .NET usado por cibercriminosos nos últimos oito anos, com pico de uso no final de 2020 e início de 2021. Apesar de sua idade, o AgentTesla continua sendo um backdoor altamente capaz e econômico que tem sido continuamente desenvolvida e aprimorada ao longo dos anos.

Um dos principais recursos do AgentTesla é a capacidade de registrar as teclas digitadas pela vítima, permitindo que os cibercriminosos capturem informações confidenciais, como senhas. O malware também pode coletar senhas que são salvas em clientes FTP, navegadores da Web ou clientes de e-mail. Além disso, o AgentTesla pode capturar imagens da área de trabalho da vítima, revelando potencialmente informações confidenciais. Ele também pode acessar e interceptar quaisquer dados que sejam copiados para a área de transferência do sistema, incluindo textos, senhas e detalhes de cartão de crédito. Uma vez coletados, os dados podem ser exfiltrados para o servidor de Comando e Controle (C2) via FTP ou SMTP.

Nos ataques do PureCrypter, os agentes da ameaça usaram uma técnica chamada "process hollowing" para injetar a carga útil do AgentTesla em um processo legítimo chamado 'cvtres.exe'. Essa técnica ajuda a evitar a detecção de ferramentas de segurança.

Para manter seguras suas comunicações com o servidor C2 e os arquivos de configuração sejam detectados por ferramentas de monitoramento de tráfego de rede, o AgentTesla usa a criptografia XOR. Esse método de criptografia dificulta que os sistemas de segurança detectem a comunicação do malware com o servidor C2, tornando-o uma ameaça desafiadora para detectar e mitigar.