PureCrypter
PureCrypter எனப்படும் மால்வேர் டவுன்லோடரைக் கொண்டு, சைபர் கிரைமினல்கள் குழு ஆசியா-பசிபிக் (APAC) மற்றும் வட அமெரிக்க பிராந்தியங்களில் உள்ள அரசாங்க நிறுவனங்களைத் தாக்கி வருகிறது. தாக்குதலுக்குப் பின்னால் உள்ள சைபர் கிரைமினல்கள் இந்த அமைப்புகளின் அமைப்புகளுக்குள் ஊடுருவி, முக்கியமான தகவல்களைச் சேகரிக்க முடிந்தது அல்லது சில சமயங்களில், ransomware ஐப் பயன்படுத்துவதன் மூலம் தங்கள் கணினியை பணயக்கைதியாக வைத்திருக்க முடிந்தது. இந்தத் தாக்குதலின் தீவிரம், இந்த அரசாங்க நிறுவனங்கள் பெரும்பாலும் முக்கியமான மற்றும் வகைப்படுத்தப்பட்ட தகவல்களைச் சேமித்து, சைபர் கிரைமினல்களுக்கான பிரதான இலக்குகளாக ஆக்குகின்றன.
ஆரம்ப பேலோடை வழங்க அச்சுறுத்தல் நடிகர்கள் டிஸ்கார்டைப் பயன்படுத்திக் கொண்டதாகவும், பிரச்சாரத்தில் பயன்படுத்தப்படும் கூடுதல் ஹோஸ்ட்களைப் பெறுவதற்கான ஒரு வழியாக இலாப நோக்கற்ற நிறுவனத்தை சமரசம் செய்ததாகவும் பாதுகாப்பு ஆராய்ச்சியாளர்கள் கண்டறிந்தனர். தீம்பொருளின் ஆரம்ப பேலோடை விநியோகிக்க டிஸ்கார்ட் போன்ற முறையான தளத்தை தாக்குபவர்கள் பயன்படுத்தினர், இது பாதுகாப்பு அமைப்புகளுக்கு அதைக் கண்டறிந்து தடுப்பதை கடினமாக்குகிறது. தீம்பொருள் Redline Stealer, AgentTesla , Eternity , Blackmoon மற்றும் Philadelphia Ransomware உள்ளிட்ட பல்வேறு தீம்பொருள் விகாரங்களை வழங்குவதற்கு அறியப்படுகிறது.
PureCrypter என்பது பல-நிலை தாக்குதல் சங்கிலியின் ஒரு பகுதியாகும்
PureCrypter மால்வேர் டவுன்லோடரைப் பயன்படுத்தும் தாக்குதல், டிஸ்கார்ட் பயன்பாட்டு URL ஐக் கொண்ட மின்னஞ்சலில் தொடங்கப்பட்டது. கடவுச்சொல் பாதுகாக்கப்பட்ட ZIP காப்பகத்தில் உள்ள PureCrypter மாதிரிக்கு இந்த URL வழிவகுக்கிறது. PureCrypter என்பது .NET-அடிப்படையிலான கணினிகளில் செயல்படும் தீம்பொருள் பதிவிறக்கம் ஆகும். பல்வேறு வகையான மால்வேர்களை விநியோகிக்கும் நோக்கத்திற்காக அதன் ஆபரேட்டர் அதை மற்ற சைபர் கிரைமினல்களுக்கு வாடகைக்கு விடுகிறார். PureCrypter செயல்படுத்தப்பட்டதும், அது கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) சேவையகத்திலிருந்து அடுத்த கட்ட பேலோடைப் பெற்று வழங்குகிறது. இந்த குறிப்பிட்ட வழக்கில், அச்சுறுத்தல் நடிகர்களால் பயன்படுத்தப்படும் கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகம் ஒரு இலாப நோக்கற்ற நிறுவனத்தின் சமரசம் செய்யப்பட்ட சேவையகமாகும்.
ஆராய்ச்சியாளர்களால் பகுப்பாய்வு செய்யப்பட்ட மாதிரியானது, பாதிக்கப்பட்டவரின் கணினியிலிருந்து தகவல்களைச் சேகரிக்கும் ஒரு வகை மால்வேர் ஏஜென்ட் டெஸ்லா ஆகும். தொடங்கப்பட்டதும், சேகரிக்கப்பட்ட தரவை அனுப்ப பாகிஸ்தானை தளமாகக் கொண்ட FTP சேவையகத்துடன் AgentTesla இணைப்பை நிறுவுகிறது. சுவாரஸ்யமான விஷயம் என்னவென்றால், அச்சுறுத்தல் நடிகர்கள் தங்கள் சொந்த FTP சேவையகத்தை அமைக்கவில்லை, மாறாக ஏற்கனவே உள்ள ஒன்றைக் கட்டுப்படுத்த கசிந்த நற்சான்றிதழ்களைப் பயன்படுத்தினர். ஏற்கனவே சமரசம் செய்யப்பட்ட சேவையகத்தைப் பயன்படுத்துவதன் மூலம், அவை அடையாளம் காணப்படுவதற்கான அபாயங்களைக் குறைக்கின்றன மற்றும் அவற்றின் தடயத்தைக் குறைக்கின்றன.
ஏஜென்ட் டெஸ்லா ஒரு அச்சுறுத்தும் சைபர் கிரைமினல் கருவியாக உள்ளது
AgentTesla என்பது ஒரு வகை .NET மால்வேர் ஆகும், இது கடந்த எட்டு ஆண்டுகளாக சைபர் கிரைமினல்களால் பயன்படுத்தப்பட்டு வருகிறது, அதன் பயன்பாடு 2020 இன் பிற்பகுதியிலும் 2021 இன் தொடக்கத்திலும் உச்சத்தை எட்டியது. வயதாக இருந்தாலும், AgentTesla அதிக திறன் கொண்ட மற்றும் செலவு குறைந்த பின்கதவாக தொடர்ந்து இருந்து வருகிறது. பல ஆண்டுகளாக உருவாக்கப்பட்டது மற்றும் மேம்படுத்தப்பட்டது.
AgentTesla இன் முக்கிய திறன்களில் ஒன்று, பாதிக்கப்பட்டவரின் விசை அழுத்தங்களை பதிவு செய்யும் திறன் ஆகும், இது சைபர் குற்றவாளிகள் கடவுச்சொற்கள் போன்ற முக்கியமான தகவல்களைப் பிடிக்க அனுமதிக்கிறது. தீம்பொருள் FTP கிளையண்டுகள், இணைய உலாவிகள் அல்லது மின்னஞ்சல் கிளையண்டுகளில் சேமிக்கப்பட்ட கடவுச்சொற்களையும் சேகரிக்கலாம். கூடுதலாக, AgentTesla பாதிக்கப்பட்டவரின் டெஸ்க்டாப்பின் ஸ்கிரீன் ஷாட்களைப் பிடிக்க முடியும், இது ரகசிய தகவலை வெளிப்படுத்தும். உரைகள், கடவுச்சொற்கள் மற்றும் கிரெடிட் கார்டு விவரங்கள் உட்பட கணினியின் கிளிப்போர்டுக்கு நகலெடுக்கப்படும் எந்தத் தரவையும் இது அணுகலாம் மற்றும் இடைமறிக்கலாம். சேகரிக்கப்பட்டவுடன், தரவு FTP அல்லது SMTP வழியாக கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்திற்கு வெளியேற்றப்படும்.
PureCrypter தாக்குதல்களில், அச்சுறுத்தல் நடிகர்கள் ஏஜென்ட்டெஸ்லா பேலோடை 'cvtres.exe' எனப்படும் முறையான செயல்பாட்டில் செலுத்த "செயல்முறை ஹாலோவிங்" என்ற நுட்பத்தைப் பயன்படுத்தினர். இந்த நுட்பம் பாதுகாப்பு கருவிகளில் இருந்து கண்டறிதலை தவிர்க்க உதவுகிறது.
நெட்வொர்க் ட்ராஃபிக் கண்காணிப்பு கருவிகள் மூலம் C2 சர்வர் மற்றும் உள்ளமைவு கோப்புகளுடன் அதன் தகவல்தொடர்புகள் கண்டறியப்படாமல் இருக்க, AgentTesla XOR குறியாக்கத்தைப் பயன்படுத்துகிறது. இந்த குறியாக்க முறையானது C2 சேவையகத்துடன் மால்வேரின் தொடர்பைக் கண்டறிவதை பாதுகாப்பு அமைப்புகளுக்கு கடினமாக்குகிறது, மேலும் அதைக் கண்டறிந்து தணிப்பது சவாலான அச்சுறுத்தலாக அமைகிறது.
