纯密码

一群网络犯罪分子一直在使用名为 PureCrypter 的恶意软件下载器攻击亚太 (APAC) 和北美地区的政府实体。攻击背后的网络罪犯能够渗透这些组织的系统并收集敏感信息，或者在某些情况下，通过使用勒索软件劫持他们的系统。攻击的严重性因这些政府实体经常存储敏感和机密信息而变得更加严重，这使它们成为网络犯罪分子的主要目标。

安全研究人员发现，威胁行为者利用 Discord 来托管初始有效载荷，并且还破坏了一个非营利组织，以此作为获取活动中使用的额外主机的一种方式。这意味着攻击者使用像 Discord 这样的合法平台来分发恶意软件的初始有效负载，使安全系统难以检测和阻止它。该恶意软件以提供多种不同的恶意软件变种而闻名，包括Redline Stealer、 AgentTesla 、 Eternity 、 Blackmoon和Philadelphia Ransomware 。

PureCrypter 是多阶段攻击链的一部分

利用 PureCrypter 恶意软件下载程序的攻击是通过一封包含 Discord 应用程序 URL 的电子邮件发起的。此 URL 指向包含在受密码保护的 ZIP 存档中的 PureCrypter 示例。 PureCrypter 是一种在基于 .NET 的系统上运行的恶意软件下载程序。它的运营商将其出租给其他网络犯罪分子，以分发各种类型的恶意软件。 PureCrypter 执行后，它会从命令与控制（C2、C&C）服务器获取并传送下一阶段的有效载荷。在这个特定案例中，威胁行为者使用的命令和控制服务器是一个非营利组织的受损服务器。

研究人员分析的样本是 AgentTesla，这是一种从受害者计算机收集信息的恶意软件。启动后，AgentTesla 会与位于巴基斯坦的 FTP 服务器建立连接，以发送收集到的数据。有趣的是，威胁行为者并没有建立自己的 FTP 服务器，而是使用泄露的凭据来控制现有服务器。通过使用已经受损的服务器，他们降低了被识别的风险并最大限度地减少了他们的踪迹。

AgentTesla 仍然是一个具有威胁性的网络犯罪工具

AgentTesla 是一种 .NET 恶意软件，在过去八年中一直被网络犯罪分子使用，其使用量在 2020 年底和 2021 年初达到顶峰。尽管年代久远，但 AgentTesla 仍然是一个功能强大且具有成本效益的后门程序，并且一直在经过多年的发展和完善。

AgentTesla 的关键功能之一是能够记录受害者的击键，从而使网络犯罪分子能够获取敏感信息，例如密码。该恶意软件还可能收集保存在 FTP 客户端、Web 浏览器或电子邮件客户端中的密码。此外，AgentTesla 可以捕获受害者桌面的屏幕截图，从而可能泄露机密信息。它还可以访问和拦截复制到系统剪贴板的任何数据，包括文本、密码和信用卡详细信息。收集后，数据可以通过 FTP 或 SMTP 泄露到命令和控制 (C2) 服务器。

在 PureCrypter 攻击中，威胁参与者使用一种称为“进程挖空”的技术将 AgentTesla 有效负载注入名为“cvtres.exe”的合法进程。这种技术有助于逃避安全工具的检测。

为了确保其与 C2 服务器和配置文件的通信安全，以免被网络流量监控工具检测到，AgentTesla 使用 XOR 加密。这种加密方法使安全系统很难检测到恶意软件与 C2 服务器的通信，使其成为检测和缓解威胁的一项具有挑战性的工作。