純密碼

一群網絡犯罪分子一直在使用名為 PureCrypter 的惡意軟件下載器攻擊亞太 (APAC) 和北美地區的政府實體。攻擊背後的網絡罪犯能夠滲透這些組織的系統並收集敏感信息，或者在某些情況下，通過使用勒索軟件劫持他們的系統。攻擊的嚴重性因這些政府實體經常存儲敏感和機密信息而變得更加嚴重，這使它們成為網絡犯罪分子的主要目標。

安全研究人員發現，威脅行為者利用 Discord 來託管初始有效載荷，並且還破壞了一個非營利組織，以此作為獲取活動中使用的額外主機的一種方式。這意味著攻擊者使用像 Discord 這樣的合法平台來分發惡意軟件的初始有效負載，使安全系統難以檢測和阻止它。該惡意軟件以提供多種不同的惡意軟件變種而聞名，包括Redline Stealer、 AgentTesla 、 Eternity 、 Blackmoon和Philadelphia Ransomware 。

PureCrypter 是多階段攻擊鏈的一部分

利用 PureCrypter 惡意軟件下載程序的攻擊是通過一封包含 Discord 應用程序 URL 的電子郵件發起的。此 URL 指向包含在受密碼保護的 ZIP 存檔中的 PureCrypter 示例。 PureCrypter 是一種在基於 .NET 的系統上運行的惡意軟件下載程序。它的運營商將其出租給其他網絡犯罪分子，以分發各種類型的惡意軟件。 PureCrypter 執行後，它會從命令與控制（C2、C&C）服務器獲取並傳送下一階段的有效負載。在這個特定案例中，威脅行為者使用的命令和控制服務器是一個非營利組織的受損服務器。

研究人員分析的樣本是 AgentTesla，這是一種從受害者計算機收集信息的惡意軟件。啟動後，AgentTesla 會與位於巴基斯坦的 FTP 服務器建立連接，以發送收集到的數據。有趣的是，威脅行為者並沒有建立自己的 FTP 服務器，而是使用洩露的憑據來控制現有服務器。通過使用已經受損的服務器，他們降低了被識別的風險並最大限度地減少了他們的踪跡。

AgentTesla 仍然是一個具有威脅性的網絡犯罪工具

AgentTesla 是一種 .NET 惡意軟件，在過去八年中一直被網絡犯罪分子使用，其使用量在 2020 年底和 2021 年初達到頂峰。儘管年代久遠，但 AgentTesla 仍然是一個功能強大且具有成本效益的後門程序，並且一直在經過多年的發展和完善。

AgentTesla 的關鍵功能之一是能夠記錄受害者的擊鍵，從而使網絡犯罪分子能夠獲取敏感信息，例如密碼。該惡意軟件還可能收集保存在 FTP 客戶端、Web 瀏覽器或電子郵件客戶端中的密碼。此外，AgentTesla 可以捕獲受害者桌面的屏幕截圖，從而可能洩露機密信息。它還可以訪問和攔截複製到系統剪貼板的任何數據，包括文本、密碼和信用卡詳細信息。收集後，數據可以通過 FTP 或 SMTP 洩露到命令和控制 (C2) 服務器。

在 PureCrypter 攻擊中，威脅參與者使用一種稱為“進程挖空”的技術將 AgentTesla 有效負載注入名為“cvtres.exe”的合法進程。這種技術有助於逃避安全工具的檢測。

為了確保與 C2 服務器和配置文件的通信安全，以免被網絡流量監控工具檢測到，AgentTesla 使用 XOR 加密。這種加密方法使安全系統很難檢測到惡意軟件與 C2 服務器的通信，使其成為檢測和緩解威脅的一項具有挑戰性的工作。