PureCrypter-malware verspreid via Discord
Beveiligingsbedrijf Menlo Labs heeft een waarschuwing afgegeven over een bedreigingsactor die de PureCrypter-downloader gebruikt om verschillende vormen van malware te verspreiden onder overheidsinstanties in de regio's Azië-Pacific en Noord-Amerika.
Als onderdeel van deze aanvallen gebruiken de aanvallers Discord voor distributiedoeleinden, terwijl het domein van een gecommandeerde non-profitorganisatie dienst doet als een command-and-control (C&C)-server om een secundaire payload te hosten. De beoogde slachtoffers worden getroffen door een reeks bedreigingen, waaronder Redline Stealer, AgentTesla, Eternity, Blackmoon en Philadelphia ransomware. PureCrypter is een geavanceerde downloader die persistentie biedt en sinds maart 2021 te koop is.
De dreiging is geschreven in .NET, ondersteunt verschillende injectietypes en verdedigingsmechanismen en kan worden aangepast met valse berichten en extra bestanden. In de huidige campagne hosten de aanvallers PureCrypter op Discord en gebruiken ze e-mail om een link naar de payload naar de beoogde doelen te sturen, terwijl ze de downloader verbergen in met een wachtwoord beveiligde ZIP-bestanden om bestaande verdedigingen te omzeilen. Zodra de PureCrypter-lader op het systeem is uitgevoerd, probeert deze een secundaire payload op te halen van de website van een gevorderd non-profitorganisatie.
De payload is geïdentificeerd als de AgentTesla-informatiedief, die communiceert met een FTP-server in Pakistan om slachtoffergegevens te exfiltreren. Menlo merkt op dat de server waarschijnlijk is geopend met behulp van gecompromitteerde inloggegevens die online zijn gevonden.
Waarom gebruiken bedreigingsactoren legitieme platforms van derden om malware te verspreiden?
Bedreigingsactoren gebruiken legitieme platforms van derden, zoals Discord, om malware te verspreiden, omdat deze platforms een zekere mate van anonimiteit bieden en het voor beveiligingsoplossingen moeilijk maken om de kwaadaardige activiteit te detecteren en te blokkeren. Door deze platforms te gebruiken, kunnen aanvallers valse accounts maken of legitieme accounts gebruiken om kwaadaardige links of bestanden te verspreiden, die vaak zijn vermomd als onschadelijke inhoud. Bovendien biedt het gebruik van platforms van derden de aanvallers toegang tot een groot aantal potentiële slachtoffers, waardoor het voor hen gemakkelijker wordt om kwetsbare systemen te vinden en aan te vallen.
Bovendien gebruiken aanvallers vaak legitieme domeinen als een command-and-control (C&C)-server om detectie te omzeilen, omdat het verkeer naar deze domeinen minder snel wordt geblokkeerd door beveiligingsoplossingen.
Over het algemeen stelt het gebruik van legitieme platforms van derden bedreigingsactoren in staat om beveiligingsmaatregelen te omzeilen en hun malware effectiever aan slachtoffers te leveren.
