Κακόβουλο λογισμικό PureCrypter που διανέμεται μέσω Discord

Η εταιρεία ασφαλείας Menlo Labs εξέδωσε μια προειδοποίηση σχετικά με έναν παράγοντα απειλής που χρησιμοποιεί το πρόγραμμα λήψης PureCrypter για να διανέμει διάφορες μορφές κακόβουλου λογισμικού σε κυβερνητικές οντότητες στις περιοχές Ασίας-Ειρηνικού και Βόρειας Αμερικής.

Ως μέρος αυτών των επιθέσεων, οι επιτιθέμενοι χρησιμοποιούν το Discord για σκοπούς διανομής, ενώ ο τομέας ενός μη κερδοσκοπικού οργανισμού με εντολές λειτουργεί ως διακομιστής εντολών και ελέγχου (C&C) για να φιλοξενήσει ένα δευτερεύον ωφέλιμο φορτίο. Τα στοχευόμενα θύματα πλήττονται από μια σειρά από απειλές, συμπεριλαμβανομένων των Redline Stealer, AgentTesla, Eternity, Blackmoon και Philadelphia ransomware. Το PureCrypter είναι ένα εξελιγμένο πρόγραμμα λήψης που προσφέρει επιμονή και είναι διαθέσιμο για αγορά από τον Μάρτιο του 2021.

Η απειλή είναι γραμμένη σε .NET, υποστηρίζει διαφορετικούς τύπους έγχυσης και αμυντικούς μηχανισμούς και μπορεί να προσαρμοστεί με ψεύτικα μηνύματα και πρόσθετα αρχεία. Στην τρέχουσα καμπάνια, οι εισβολείς φιλοξενούν το PureCrypter στο Discord και χρησιμοποιούν email για να στείλουν έναν σύνδεσμο προς το ωφέλιμο φορτίο στους επιδιωκόμενους στόχους, ενώ κρύβουν το πρόγραμμα λήψης μέσα σε αρχεία ZIP που προστατεύονται με κωδικό πρόσβασης για να παρακάμψουν τις υπάρχουσες άμυνες. Μόλις εκτελεστεί ο φορτωτής PureCrypter στο σύστημα, επιχειρεί να ανακτήσει ένα δευτερεύον ωφέλιμο φορτίο από τον ιστότοπο ενός μη κερδοσκοπικού οργανισμού με εντολή.

Το ωφέλιμο φορτίο έχει ταυτοποιηθεί ως ο κλέφτης πληροφοριών AgentTesla, ο οποίος επικοινωνεί με έναν διακομιστή FTP στο Πακιστάν για να διεισδύσει δεδομένα θυμάτων. Ο Menlo σημειώνει ότι πιθανότατα έγινε πρόσβαση στον διακομιστή χρησιμοποιώντας παραβιασμένα διαπιστευτήρια που βρέθηκαν στο διαδίκτυο.

Γιατί οι ηθοποιοί απειλών χρησιμοποιούν νόμιμες πλατφόρμες τρίτων για τη διανομή κακόβουλου λογισμικού;

Οι φορείς απειλών χρησιμοποιούν νόμιμες πλατφόρμες τρίτων, όπως το Discord, για να διανέμουν κακόβουλο λογισμικό, επειδή αυτές οι πλατφόρμες παρέχουν ένα επίπεδο ανωνυμίας και δυσχεραίνουν τον εντοπισμό και τον αποκλεισμό της κακόβουλης δραστηριότητας από τις λύσεις ασφαλείας. Χρησιμοποιώντας αυτές τις πλατφόρμες, οι εισβολείς μπορούν να δημιουργήσουν ψεύτικους λογαριασμούς ή να αξιοποιήσουν νόμιμους για τη διάδοση κακόβουλων συνδέσμων ή αρχείων, τα οποία συχνά συγκαλύπτονται ως αβλαβές περιεχόμενο. Επιπλέον, η χρήση πλατφορμών τρίτων παρέχει στους επιτιθέμενους πρόσβαση σε μεγάλο αριθμό πιθανών θυμάτων, διευκολύνοντας την εύρεση και τη στόχευση ευάλωτων συστημάτων.

Επιπλέον, οι εισβολείς συχνά χρησιμοποιούν νόμιμους τομείς ως διακομιστή εντολών και ελέγχου (C&C) για να αποφύγουν τον εντοπισμό, καθώς η κυκλοφορία σε αυτούς τους τομείς είναι λιγότερο πιθανό να αποκλειστεί από λύσεις ασφαλείας.

Συνολικά, η χρήση νόμιμων πλατφορμών τρίτων επιτρέπει στους φορείς απειλών να παρακάμπτουν τα μέτρα ασφαλείας και να παραδίδουν πιο αποτελεσματικά το κακόβουλο λογισμικό τους στα θύματα.