PureCrypter Malware distribueret gennem Discord

Sikkerhedsfirmaet Menlo Labs har udstedt en advarsel om en trusselsaktør, der bruger PureCrypter-downloaderen til at distribuere forskellige former for malware til statslige enheder i Asien-Stillehavs- og Nordamerika-regionerne.

Som en del af disse angreb bruger angriberne Discord til distributionsformål, mens en kommanderet non-profit organisations domæne fungerer som en kommando-og-kontrol-server (C&C) til at være vært for en sekundær nyttelast. De målrettede ofre bliver ramt af en række trusler, herunder Redline Stealer, AgentTesla, Eternity, Blackmoon og Philadelphia ransomware. PureCrypter er en sofistikeret downloader, der tilbyder vedholdenhed og har været tilgængelig til køb siden marts 2021.

Truslen er skrevet i .NET, understøtter forskellige injektionstyper og forsvarsmekanismer og kan tilpasses med falske beskeder og yderligere filer. I den nuværende kampagne hoster angriberne PureCrypter på Discord og bruger e-mail til at sende et link til nyttelasten til de tilsigtede mål, mens de gemmer downloaderen inde i password-beskyttede ZIP-filer for at omgå eksisterende forsvar. Når PureCrypter-indlæseren er udført på systemet, forsøger den at hente en sekundær nyttelast fra en kommanderet non-profit organisations hjemmeside.

Nyttelasten er blevet identificeret som AgentTesla-informationstyveren, som kommunikerer med en FTP-server i Pakistan for at eksfiltrere offerdata. Menlo bemærker, at serveren sandsynligvis blev tilgået ved hjælp af kompromitterede legitimationsoplysninger fundet online.

Hvorfor bruger trusselsaktører legitime tredjepartsplatforme til at distribuere malware?

Trusselaktører bruger legitime tredjepartsplatforme, såsom Discord, til at distribuere malware, fordi disse platforme giver et niveau af anonymitet og gør det vanskeligt for sikkerhedsløsninger at opdage og blokere den ondsindede aktivitet. Ved at bruge disse platforme kan angriberne oprette falske konti eller udnytte legitime til at sprede ondsindede links eller filer, som ofte er forklædt som harmløst indhold. Derudover giver brug af tredjepartsplatforme angriberne adgang til et stort antal potentielle ofre, hvilket gør det nemmere for dem at finde og målrette mod sårbare systemer.

Ydermere bruger angribere ofte legitime domæner som en kommando-og-kontrol-server (C&C) for at undgå registrering, da trafik til disse domæner er mindre tilbøjelige til at blive blokeret af sikkerhedsløsninger.

Generelt giver brugen af tredjeparts legitime platforme trusselsaktører mulighed for at omgå sikkerhedsforanstaltninger og mere effektivt levere deres malware til ofre.