A Discordon keresztül terjesztett PureCrypter rosszindulatú program
A Menlo Labs biztonsági cég figyelmeztetést adott ki egy fenyegetést okozó szereplő miatt, aki PureCrypter letöltőt használ a rosszindulatú programok különféle formáinak terjesztésére az ázsiai-csendes-óceáni és észak-amerikai régiókban.
E támadások részeként a támadók Discordot használnak terjesztési célokra, míg egy non-profit szervezet tartománya parancs- és vezérlőkiszolgálóként (C&C) szolgál egy másodlagos hasznos adat tárolására. A megcélzott áldozatokat számos fenyegetés éri, köztük a Redline Stealer, az AgentTesla, az Eternity, a Blackmoon és a Philadelphia ransomware. A PureCrypter egy kifinomult letöltő, amely tartósságot kínál, és 2021 márciusa óta megvásárolható.
A fenyegetés .NET-ben íródott, különböző befecskendezési típusokat és védelmi mechanizmusokat támogat, valamint hamis üzenetekkel és további fájlokkal testreszabható. A jelenlegi kampányban a támadók a PureCryptert a Discordon tárolják, és e-mailben küldik el a hasznos adatra mutató linket a tervezett célpontoknak, miközben a letöltőt jelszóval védett ZIP-fájlokba rejtik, hogy megkerüljék a meglévő védelmet. Miután a PureCrypter betöltőt végrehajtották a rendszeren, megpróbál egy másodlagos hasznos adatot lekérni egy irányított nonprofit szervezet webhelyéről.
A rakományt az AgentTesla információlopóként azonosították, amely egy pakisztáni FTP-kiszolgálóval kommunikál, hogy kiszűrje az áldozat adatait. Menlo megjegyzi, hogy a szerverhez valószínűleg az interneten talált, feltört hitelesítő adatokkal fértek hozzá.
Miért használnak a fenyegetés szereplői harmadik felek legitim platformjait rosszindulatú programok terjesztésére?
A fenyegetés szereplői harmadik felek legitim platformjait, például a Discordot használják rosszindulatú programok terjesztésére, mivel ezek a platformok bizonyos szintű anonimitást biztosítanak, és megnehezítik a biztonsági megoldások számára a rosszindulatú tevékenységek észlelését és blokkolását. Ezen platformok használatával a támadók hamis fiókokat hozhatnak létre, vagy legitim fiókokat használhatnak fel rosszindulatú hivatkozások vagy fájlok terjesztésére, amelyeket gyakran ártalmatlan tartalomnak álcáznak. Ezenkívül a harmadik féltől származó platformok használata nagyszámú potenciális áldozathoz biztosít hozzáférést a támadóknak, így könnyebben megtalálhatják és megcélozhatják a sebezhető rendszereket.
Ezenkívül a támadók gyakran használnak legitim tartományokat parancs- és vezérlési (C&C) szerverként, hogy elkerüljék az észlelést, mivel az ezekre a tartományokra irányuló forgalmat kisebb valószínűséggel blokkolják a biztonsági megoldások.
Összességében elmondható, hogy a harmadik féltől származó legitim platformok használata lehetővé teszi a fenyegetés szereplői számára, hogy megkerüljék a biztonsági intézkedéseket, és hatékonyabban juttassák el rosszindulatú programjaikat az áldozatokhoz.