PureCrypter skadelig programvare distribuert gjennom Discord

Sikkerhetsselskapet Menlo Labs har utstedt en advarsel om en trusselaktør som bruker PureCrypter-nedlasteren til å distribuere ulike former for skadelig programvare til offentlige enheter i Asia-Stillehavsregionen og Nord-Amerika.

Som en del av disse angrepene bruker angriperne Discord til distribusjonsformål, mens en kommandert non-profit organisasjons domene fungerer som en kommando-og-kontroll-server (C&C) for å være vert for en sekundær nyttelast. De målrettede ofrene blir rammet av en rekke trusler, inkludert Redline Stealer, AgentTesla, Eternity, Blackmoon og Philadelphia løsepengeprogram. PureCrypter er en sofistikert nedlaster som tilbyr utholdenhet og har vært tilgjengelig for kjøp siden mars 2021.

Trusselen er skrevet i .NET, støtter ulike injeksjonstyper og forsvarsmekanismer, og kan tilpasses med falske meldinger og tilleggsfiler. I den nåværende kampanjen er angriperne vert for PureCrypter på Discord og bruker e-post for å sende en lenke til nyttelasten til de tiltenkte målene, mens de skjuler nedlasteren inne i passordbeskyttede ZIP-filer for å omgå eksisterende forsvar. Når PureCrypter-lasteren er utført på systemet, prøver den å hente en sekundær nyttelast fra en kommandert non-profit organisasjons nettsted.

Nyttelasten er identifisert som AgentTesla-informasjonstyveren, som kommuniserer med en FTP-server i Pakistan for å eksfiltrere offerdata. Menlo bemerker at serveren sannsynligvis ble åpnet ved å bruke kompromittert legitimasjon funnet på nettet.

Hvorfor bruker trusselaktører legitime tredjepartsplattformer for å distribuere skadelig programvare?

Trusselaktører bruker legitime tredjepartsplattformer, som Discord, for å distribuere skadelig programvare fordi disse plattformene gir et nivå av anonymitet og gjør det vanskelig for sikkerhetsløsninger å oppdage og blokkere den ondsinnede aktiviteten. Ved å bruke disse plattformene kan angriperne opprette falske kontoer eller utnytte legitime kontoer til å spre ondsinnede lenker eller filer, som ofte er forkledd som harmløst innhold. I tillegg gir bruk av tredjepartsplattformer angriperne tilgang til et stort antall potensielle ofre, noe som gjør det lettere for dem å finne og målrette mot sårbare systemer.

Videre bruker angripere ofte legitime domener som en kommando-og-kontroll-server (C&C) for å unngå oppdagelse, da trafikk til disse domenene er mindre sannsynlig å bli blokkert av sikkerhetsløsninger.

Totalt sett lar bruken av tredjeparts legitime plattformer trusselaktører omgå sikkerhetstiltak og mer effektivt levere skadevare til ofrene.