Discord を介して配布される PureCrypter マルウェア
セキュリティ企業の Menlo Labs は、PureCrypter ダウンローダを使用して、アジア太平洋および北米地域の政府機関にさまざまな形式のマルウェアを配布している脅威アクターについて警告を発しました。
これらの攻撃の一環として、攻撃者は配布目的で Discord を使用していますが、略奪された非営利組織のドメインはコマンド アンド コントロール (C&C) サーバーとして機能し、セカンダリ ペイロードをホストしています。標的となった被害者は、Redline Stealer、AgentTesla、Eternity、Blackmoon、Philadelphia ランサムウェアなど、さまざまな脅威にさらされています。 PureCrypter は永続性を提供する洗練されたダウンローダーで、2021 年 3 月から購入可能です。
この脅威は .NET で記述されており、さまざまな種類のインジェクションと防御メカニズムをサポートしており、偽のメッセージと追加のファイルでカスタマイズできます。現在のキャンペーンでは、攻撃者は Discord で PureCrypter をホストし、電子メールを使用して目的のターゲットにペイロードへのリンクを送信し、パスワードで保護された ZIP ファイル内にダウンローダーを隠して既存の防御を回避しています。 PureCrypter ローダーがシステム上で実行されると、略奪された非営利組織の Web サイトから 2 番目のペイロードを取得しようとします。
ペイロードは、パキスタンの FTP サーバーと通信して被害者のデータを盗み出す AgentTesla 情報スティーラーとして特定されています。 Menlo は、オンラインで見つかった侵害された資格情報を使用してサーバーにアクセスした可能性が高いと指摘しています。
攻撃者がサードパーティの正当なプラットフォームを使用してマルウェアを配布するのはなぜですか?
脅威アクターは、Discord などのサードパーティの正当なプラットフォームを使用してマルウェアを配布しています。これらのプラットフォームは一定レベルの匿名性を提供し、セキュリティ ソリューションが悪意のあるアクティビティを検出してブロックすることを困難にするからです。これらのプラットフォームを使用することで、攻撃者は偽のアカウントを作成したり、正当なアカウントを利用して悪意のあるリンクやファイルを拡散したりできます。これらは多くの場合、無害なコンテンツに偽装されています。さらに、サードパーティのプラットフォームを使用すると、攻撃者は多数の潜在的な被害者にアクセスできるようになり、脆弱なシステムを見つけて標的にすることが容易になります.
さらに、これらのドメインへのトラフィックはセキュリティ ソリューションによってブロックされる可能性が低いため、攻撃者は多くの場合、正規のドメインをコマンド アンド コントロール (C&C) サーバーとして使用して検出を回避します。
全体として、サードパーティの正当なプラットフォームを使用することで、攻撃者はセキュリティ対策を回避し、より効果的にマルウェアを被害者に配信できます。