Złośliwe oprogramowanie PureCrypter dystrybuowane przez Discord
Firma ochroniarska Menlo Labs wydała ostrzeżenie o cyberprzestępcy, który używa narzędzia do pobierania PureCrypter do dystrybucji różnych form złośliwego oprogramowania do jednostek rządowych w regionach Azji i Pacyfiku oraz Ameryki Północnej.
W ramach tych ataków napastnicy wykorzystują Discord do celów dystrybucji, podczas gdy przejęta domena organizacji non-profit służy jako serwer dowodzenia i kontroli (C&C) do hostowania dodatkowego ładunku. Wybrane ofiary są atakowane różnymi zagrożeniami, w tym Redline Stealer, AgentTesla, Eternity, Blackmoon i Philadelphia ransomware. PureCrypter to wyrafinowany program do pobierania, który oferuje trwałość i jest dostępny w sprzedaży od marca 2021 r.
Zagrożenie jest napisane w .NET, obsługuje różne typy wstrzykiwania i mechanizmy obronne oraz można je dostosować za pomocą fałszywych wiadomości i dodatkowych plików. W obecnej kampanii napastnicy hostują PureCrypter na Discordzie i używają poczty e-mail do wysyłania łącza do ładunku do zamierzonych celów, jednocześnie ukrywając narzędzie do pobierania w plikach ZIP chronionych hasłem, aby ominąć istniejące mechanizmy obronne. Gdy program ładujący PureCrypter zostanie uruchomiony w systemie, próbuje pobrać dodatkowy ładunek z zarekwirowanej strony internetowej organizacji non-profit.
Ładunek został zidentyfikowany jako narzędzie do kradzieży informacji AgentTesla, które komunikuje się z serwerem FTP w Pakistanie w celu eksfiltracji danych ofiary. Menlo zauważa, że dostęp do serwera prawdopodobnie uzyskano przy użyciu skompromitowanych danych uwierzytelniających znalezionych online.
Dlaczego cyberprzestępcy wykorzystują legalne platformy innych firm do dystrybucji złośliwego oprogramowania?
Aktorzy zajmujący się zagrożeniami wykorzystują legalne platformy innych firm, takie jak Discord, do dystrybucji złośliwego oprogramowania, ponieważ platformy te zapewniają pewien poziom anonimowości i utrudniają rozwiązaniom zabezpieczającym wykrywanie i blokowanie złośliwej aktywności. Korzystając z tych platform, osoby atakujące mogą tworzyć fałszywe konta lub wykorzystywać legalne konta do rozpowszechniania złośliwych łączy lub plików, które często udają nieszkodliwe treści. Dodatkowo korzystanie z platform innych firm zapewnia atakującym dostęp do dużej liczby potencjalnych ofiar, ułatwiając im znajdowanie i atakowanie wrażliwych systemów.
Co więcej, osoby atakujące często wykorzystują legalne domeny jako serwer dowodzenia i kontroli (C&C), aby uniknąć wykrycia, ponieważ ruch do tych domen jest mniej blokowany przez rozwiązania bezpieczeństwa.
Ogólnie rzecz biorąc, korzystanie z legalnych platform stron trzecich umożliwia cyberprzestępcom obejście środków bezpieczeństwa i skuteczniejsze dostarczanie ofiarom złośliwego oprogramowania.
