PureCrypter

Një grup kriminelësh kibernetikë ka sulmuar njësitë qeveritare në rajonet e Azi-Paqësorit (APAC) dhe Amerikës së Veriut me një shkarkues malware të quajtur PureCrypter. Kriminelët kibernetikë pas sulmit ishin në gjendje të depërtonin në sistemet e këtyre organizatave dhe të mblidhnin informacione të ndjeshme ose, në disa raste, të mbanin peng sistemin e tyre përmes përdorimit të ransomware. Ashpërsia e sulmit shtohet nga fakti se këto entitete qeveritare shpesh ruajnë informacione të ndjeshme dhe të klasifikuara, duke i bërë ato objektiva kryesore për kriminelët kibernetikë.

Studiuesit e sigurisë zbuluan se aktorët e kërcënimit shfrytëzuan Discord për të pritur ngarkesën fillestare dhe gjithashtu komprometuan një organizatë jofitimprurëse si një mënyrë për të mbledhur hoste shtesë të përdorur në fushatë. Kjo do të thotë se sulmuesit përdorën një platformë legjitime si Discord për të shpërndarë ngarkesën fillestare të malware, duke e bërë të vështirë për sistemet e sigurisë zbulimin dhe bllokimin e tij. Malware është i njohur për ofrimin e disa llojeve të ndryshme malware, duke përfshirë Redline Stealer, AgentTesla , Eternity , Blackmoon dhe Philadelphia Ransomware .

PureCrypter është pjesë e një zinxhiri sulmi me shumë faza

Sulmi që përdor shkarkuesin e malware PureCrypter fillon me një email që përmban një URL të aplikacionit Discord. Kjo URL çon në një mostër PureCrypter që gjendet brenda një arkivi ZIP të mbrojtur me fjalëkalim. PureCrypter është një shkarkues malware që operon në sisteme të bazuara në .NET. Operatori i tij ua jep me qira kriminelëve të tjerë kibernetikë me qëllim të shpërndarjes së llojeve të ndryshme të malware. Pasi PureCrypter të ekzekutohet, ai merr dhe dorëzon ngarkesën e fazës tjetër nga një server Command-and-Control (C2, C&C). Në këtë rast specifik, serveri i komandës dhe kontrollit i përdorur nga aktorët e kërcënimit ishte serveri i komprometuar i një organizate jofitimprurëse.

Mostra e analizuar nga studiuesit ishte AgentTesla, një lloj malware që mbledh informacion nga kompjuteri i viktimës. Pasi të nisë, AgentTesla krijon një lidhje me një server FTP me bazë në Pakistan për të dërguar të dhënat e mbledhura. Ajo që është interesante është se aktorët e kërcënimit nuk krijuan serverin e tyre FTP, por përdorën kredencialet e zbuluara për të marrë kontrollin e një ekzistues. Duke përdorur një server tashmë të komprometuar, ata zvogëlojnë rreziqet e identifikimit dhe minimizojnë gjurmët e tyre.

AgentTesla mbetet një mjet kërcënues për krimin kibernetik

AgentTesla është një lloj malware .NET që është përdorur nga kriminelët kibernetikë për tetë vitet e fundit, me përdorimin e tij kulmin në fund të 2020 dhe në fillim të 2021. Pavarësisht nga mosha e tij, AgentTesla mbetet një derë e pasme shumë e aftë dhe me kosto efektive që ka qenë vazhdimisht zhvilluar dhe përmirësuar me kalimin e viteve.

Një nga aftësitë kryesore të AgentTesla është aftësia për të regjistruar goditjet e tastave të viktimës, duke i lejuar kriminelët kibernetikë të kapin informacione të ndjeshme, të tilla si fjalëkalimet. Malware gjithashtu mund të mbledhë fjalëkalime që ruhen në klientët FTP, shfletuesit e uebit ose klientët e postës elektronike. Përveç kësaj, AgentTesla mund të kapë pamjet e ekranit të desktopit të viktimës, duke zbuluar potencialisht informacione konfidenciale. Ai gjithashtu mund të aksesojë dhe të përgjojë çdo të dhënë që kopjohet në kujtesën e fragmenteve të sistemit, duke përfshirë tekstet, fjalëkalimet dhe detajet e kartës së kreditit. Pasi të mblidhen, të dhënat mund të ekfiltohen në serverin e komandës dhe kontrollit (C2) nëpërmjet FTP ose SMTP.

Në sulmet PureCrypter, aktorët e kërcënimit përdorën një teknikë të quajtur "proces hollowing" për të injektuar ngarkesën e AgentTesla në një proces legjitim të quajtur 'cvtres.exe.' Kjo teknikë ndihmon për të shmangur zbulimin nga mjetet e sigurisë.

Për të mbajtur të sigurt komunikimet e saj me serverin C2 dhe skedarët e konfigurimit që të mos zbulohen nga mjetet e monitorimit të trafikut të rrjetit, AgentTesla përdor kriptimin XOR. Kjo metodë e kriptimit e bën të vështirë për sistemet e sigurisë zbulimin e komunikimit të malware me serverin C2, duke e bërë atë një kërcënim sfidues për të zbuluar dhe zbutur.