PureCrypter

En grupp cyberkriminella har attackerat statliga enheter i Asien-Stillahavsområdet (APAC) och Nordamerika med en skadlig programvara som heter PureCrypter. De cyberkriminella bakom attacken kunde infiltrera dessa organisationers system och samla in känslig information eller, i vissa fall, hålla deras system som gisslan genom att använda ransomware. Attackens svårighetsgrad förvärras av det faktum att dessa statliga enheter ofta lagrar känslig och hemligstämplad information, vilket gör dem till främsta mål för cyberbrottslingar.

Säkerhetsforskare fick reda på att hotaktörerna utnyttjade Discord för att vara värd för den initiala nyttolasten och även kompromissat med en ideell organisation som ett sätt att skaffa ytterligare värdar som används i kampanjen. Detta innebär att angriparna använde en legitim plattform som Discord för att distribuera den initiala nyttolasten av skadlig programvara, vilket gjorde det svårt för säkerhetssystem att upptäcka och blockera den. Skadlig programvara är känd för att leverera flera olika skadliga stammar, inklusive Redline Stealer, AgentTesla , Eternity , Blackmoon och Philadelphia Ransomware .

PureCrypter är en del av en attackkedja i flera steg

Attacken som använder PureCrypter malware-nedladdningsprogrammet initieras med ett e-postmeddelande som innehåller en Discord-applikations-URL. Denna URL leder till ett PureCrypter-exempel som finns i ett lösenordsskyddat ZIP-arkiv. PureCrypter är en skadlig programvara som kan laddas ner på .NET-baserade system. Dess operatör hyr ut den till andra cyberkriminella i syfte att distribuera olika typer av skadlig programvara. När PureCrypter har körts hämtar den och levererar nästa nyttolast från en Command-and-Control-server (C2, C&C). I det här specifika fallet var kommando- och kontrollservern som användes av hotaktörerna den komprometterade servern för en ideell organisation.

Provet som analyserades av forskarna var AgentTesla, en typ av skadlig programvara som samlar in information från offrets dator. När den väl har lanserats upprättar AgentTesla en anslutning till en Pakistan-baserad FTP-server för att skicka insamlad data. Vad som är intressant är att hotaktörerna inte satte upp sin egen FTP-server utan använde läckta referenser för att ta kontroll över en befintlig. Genom att använda en redan utsatt server minskar de riskerna för att bli identifierade och minimerar deras spårning.

AgentTesla förblir ett hotande cyberkriminellt verktyg

AgentTesla är en typ av .NET skadlig kod som har använts av cyberbrottslingar under de senaste åtta åren, med användningen som toppade i slutet av 2020 och början av 2021. Trots sin ålder förblir AgentTesla en mycket kapabel och kostnadseffektiv bakdörr som har varit kontinuerligt utvecklats och förbättrats under åren.

En av AgentTeslas nyckelfunktioner är förmågan att logga offrets tangenttryckningar, vilket gör att cyberbrottslingar kan fånga känslig information, såsom lösenord. Skadlig programvara kan också samla in lösenord som sparas i FTP-klienter, webbläsare eller e-postklienter. Dessutom kan AgentTesla ta skärmdumpar av offrets skrivbord, vilket kan avslöja konfidentiell information. Det kan också komma åt och fånga upp all data som kopieras till urklipp i systemet, inklusive texter, lösenord och kreditkortsuppgifter. När informationen väl har samlats in kan den exfiltreras till Command and Control-servern (C2) via FTP eller SMTP.

I PureCrypter-attackerna använde hotaktörerna en teknik som kallas "process hollowing" för att injicera AgentTeslas nyttolast i en legitim process som kallas "cvtres.exe". Denna teknik hjälper till att undvika upptäckt från säkerhetsverktyg.

För att skydda sin kommunikation med C2-servern och konfigurationsfiler från att upptäckas av nätverkstrafikövervakningsverktyg använder AgentTesla XOR-krypteringen. Denna krypteringsmetod gör det svårt för säkerhetssystem att upptäcka skadlig programvaras kommunikation med C2-servern, vilket gör det till ett utmanande hot att upptäcka och mildra.