Malware PureCrypter distribuito tramite Discord
La società di sicurezza Menlo Labs ha emesso un avviso su un attore di minacce che utilizza il downloader PureCrypter per distribuire varie forme di malware a entità governative nelle regioni dell'Asia-Pacifico e del Nord America.
Come parte di questi attacchi, gli aggressori utilizzano Discord per scopi di distribuzione, mentre il dominio di un'organizzazione senza scopo di lucro requisito funge da server di comando e controllo (C&C) per ospitare un payload secondario. Le vittime prese di mira vengono colpite da una serie di minacce, tra cui Redline Stealer, AgentTesla, Eternity, Blackmoon e Philadelphia ransomware. PureCrypter è un sofisticato downloader che offre persistenza ed è disponibile per l'acquisto da marzo 2021.
La minaccia è scritta in .NET, supporta diversi tipi di injection e meccanismi di difesa e può essere personalizzata con messaggi falsi e file aggiuntivi. Nella campagna in corso, gli aggressori ospitano PureCrypter su Discord e utilizzano la posta elettronica per inviare un collegamento al payload agli obiettivi previsti, nascondendo il downloader all'interno di file ZIP protetti da password per aggirare le difese esistenti. Una volta che il caricatore PureCrypter viene eseguito sul sistema, tenta di recuperare un payload secondario dal sito Web di un'organizzazione senza scopo di lucro requisito.
Il payload è stato identificato come il ladro di informazioni AgentTesla, che sta comunicando con un server FTP in Pakistan per esfiltrare i dati delle vittime. Menlo osserva che probabilmente è stato effettuato l'accesso al server utilizzando credenziali compromesse trovate online.
Perché gli attori delle minacce utilizzano piattaforme legittime di terze parti per distribuire malware?
Gli attori delle minacce utilizzano piattaforme legittime di terze parti, come Discord, per distribuire malware perché queste piattaforme forniscono un livello di anonimato e rendono difficile per le soluzioni di sicurezza rilevare e bloccare l'attività dannosa. Utilizzando queste piattaforme, gli aggressori possono creare account falsi o sfruttare quelli legittimi per diffondere collegamenti o file dannosi, spesso camuffati da contenuti innocui. Inoltre, l'utilizzo di piattaforme di terze parti fornisce agli aggressori l'accesso a un gran numero di potenziali vittime, rendendo più facile per loro trovare e prendere di mira i sistemi vulnerabili.
Inoltre, gli aggressori utilizzano spesso domini legittimi come server di comando e controllo (C&C) per eludere il rilevamento, poiché è meno probabile che il traffico verso questi domini venga bloccato dalle soluzioni di sicurezza.
Nel complesso, l'uso di piattaforme legittime di terze parti consente agli autori delle minacce di aggirare le misure di sicurezza e fornire in modo più efficace il proprio malware alle vittime.
