„PureCrypter“ kenkėjiška programa, platinama per „Discord“.

Apsaugos įmonė „Menlo Labs“ paskelbė įspėjimą apie grėsmių veikėją, kuris naudoja „PureCrypter“ atsisiuntimo programą, kad platintų įvairių formų kenkėjiškas programas Azijos ir Ramiojo vandenyno bei Šiaurės Amerikos regionų valdžios institucijoms.

Vykdydami šias atakas, užpuolikai naudoja „Discord“ platinimo tikslais, o vadovaujamos ne pelno organizacijos domenas yra komandų ir valdymo (C&C) serveris, skirtas antrinei naudingajai apkrovai priglobti. Tikslinės aukos patiria daugybę grėsmių, įskaitant „Redline Stealer“, „AgentTesla“, „Eternity“, „Blackmoon“ ir „Philadelphia“ išpirkos programas. „PureCrypter“ yra sudėtingas atsisiuntimo įrankis, užtikrinantis patvarumą ir kurį galima įsigyti nuo 2021 m. kovo mėn.

Grėsmė yra parašyta .NET, palaiko skirtingus injekcijos tipus ir gynybos mechanizmus ir gali būti pritaikyta naudojant netikrus pranešimus ir papildomus failus. Dabartinėje kampanijoje užpuolikai priglobia „PureCrypter“ sistemoje „Discord“ ir naudoja el. paštą, norėdami nusiųsti nuorodą į naudingą apkrovą numatytiems tikslams, o atsisiuntimo programą slepia slaptažodžiu apsaugotuose ZIP failuose, kad apeitų esamas apsaugos priemones. Kai sistemoje vykdomas PureCrypter įkroviklis, jis bando gauti antrinę naudingąją apkrovą iš valdomos ne pelno organizacijos svetainės.

Naudingasis krovinys buvo identifikuotas kaip „AgentTesla“ informacijos vagystė, kuri palaiko ryšį su FTP serveriu Pakistane, kad išfiltruotų aukų duomenis. Menlo pažymi, kad serveris greičiausiai buvo pasiektas naudojant pažeistus prisijungimo duomenis, rastus internete.

Kodėl grėsmės veikėjai naudojasi teisėtomis trečiųjų šalių platformomis kenkėjiškoms programoms platinti?

Grėsmių subjektai naudoja trečiųjų šalių teisėtas platformas, pvz., „Discord“, kad platintų kenkėjiškas programas, nes šios platformos užtikrina tam tikrą anonimiškumo lygį ir apsunkina saugos sprendimų aptikimą ir blokavimą kenkėjišką veiklą. Naudodami šias platformas, užpuolikai gali sukurti netikras paskyras arba panaudoti teisėtas paskyras, kad skleistų kenksmingas nuorodas ar failus, kurie dažnai yra užmaskuoti kaip nekenksmingas turinys. Be to, naudojant trečiųjų šalių platformas, užpuolikai gali pasiekti daugybę potencialių aukų, todėl jiems lengviau rasti ir nukreipti į pažeidžiamas sistemas.

Be to, užpuolikai dažnai naudoja teisėtus domenus kaip komandų ir valdymo (C&C) serverį, kad išvengtų aptikimo, nes mažiau tikėtina, kad saugos sprendimai blokuos srautą į šiuos domenus.

Apskritai, trečiųjų šalių teisėtų platformų naudojimas leidžia grėsmės subjektams apeiti saugos priemones ir veiksmingiau perduoti savo kenkėjiškas programas aukoms.