PureCrypter

Un grup de criminali cibernetici a atacat entitățile guvernamentale din regiunile Asia-Pacific (APAC) și America de Nord cu un program de descărcare a malware numit PureCrypter. Criminalii cibernetici din spatele atacului au reușit să se infiltreze în sistemele acestor organizații și să colecteze informații sensibile sau, în unele cazuri, să-și țină sistemul ostatic prin utilizarea de ransomware. Severitatea atacului este agravată de faptul că aceste entități guvernamentale stochează adesea informații sensibile și clasificate, făcându-le ținte principale pentru infractorii cibernetici.

Cercetătorii de securitate au descoperit că actorii amenințărilor au exploatat Discord pentru a găzdui încărcătura utilă inițială și, de asemenea, au compromis o organizație non-profit ca o modalitate de a aduna gazde suplimentare utilizate în campanie. Aceasta înseamnă că atacatorii au folosit o platformă legitimă precum Discord pentru a distribui încărcătura utilă inițială a malware-ului, făcând dificilă detectarea și blocarea acestuia de către sistemele de securitate. Malware-ul este cunoscut pentru că furnizează mai multe tulpini diferite de malware, inclusiv Redline Stealer, AgentTesla , Eternity , Blackmoon și Philadelphia Ransomware .

PureCrypter face parte dintr-un lanț de atac în mai multe etape

Atacul care utilizează programul de descărcare a malware PureCrypter este inițiat cu un e-mail care conține adresa URL a aplicației Discord. Această adresă URL duce la un eșantion PureCrypter care este conținut într-o arhivă ZIP protejată prin parolă. PureCrypter este un program de descărcare de malware care funcționează pe sisteme bazate pe .NET. Operatorul său îl închiriază altor infractori cibernetici în scopul distribuirii diferitelor tipuri de malware. Odată ce PureCrypter este executat, preia și furnizează încărcătura utilă din etapa următoare de pe un server Command-and-Control (C2, C&C). În acest caz specific, serverul de comandă și control folosit de actorii amenințărilor a fost serverul compromis al unei organizații non-profit.

Eșantionul analizat de cercetători a fost AgentTesla, un tip de malware care colectează informații de pe computerul victimei. Odată lansat, AgentTesla stabilește o conexiune la un server FTP din Pakistan pentru a trimite datele colectate. Ceea ce este interesant este că actorii amenințărilor nu și-au configurat propriul server FTP, ci mai degrabă au folosit acreditările scurse pentru a prelua controlul asupra unuia existent. Folosind un server deja compromis, acestea reduc riscurile de a fi identificate și minimizează urmele acestora.

AgentTesla rămâne un instrument amenințător pentru infracțiunile cibernetice

AgentTesla este un tip de malware .NET care a fost folosit de infractorii cibernetici în ultimii opt ani, cu un nivel maxim de utilizare la sfârșitul anului 2020 și începutul lui 2021. În ciuda vechimii sale, AgentTesla rămâne o ușă din spate foarte capabilă și rentabilă, care a fost continuu. dezvoltat și îmbunătățit de-a lungul anilor.

Una dintre capacitățile cheie ale AgentTesla este capacitatea de a înregistra apăsările de taste ale victimei, permițând criminalilor cibernetici să capteze informații sensibile, cum ar fi parolele. De asemenea, programul malware poate colecta parole care sunt salvate în clienții FTP, browsere web sau clienți de e-mail. În plus, AgentTesla poate face capturi de ecran de pe desktop-ul victimei, dezvăluind posibil informații confidențiale. De asemenea, poate accesa și intercepta orice date care sunt copiate în clipboard-ul sistemului, inclusiv textele, parolele și detaliile cărții de credit. Odată colectate, datele pot fi exfiltrate către serverul de comandă și control (C2) prin FTP sau SMTP.

În atacurile PureCrypter, actorii amenințărilor au folosit o tehnică numită „process hollow” pentru a injecta încărcătura utilă AgentTesla într-un proces legitim numit „cvtres.exe”. Această tehnică ajută la evitarea detectării din instrumentele de securitate.

Pentru a păstra în siguranță comunicațiile cu serverul C2 și fișierele de configurare împotriva detectării de către instrumentele de monitorizare a traficului în rețea, AgentTesla utilizează criptarea XOR. Această metodă de criptare îngreunează sistemele de securitate să detecteze comunicarea malware-ului cu serverul C2, făcându-l o amenințare dificilă de detectat și atenuat.