Malware PureCrypter distribuído através do Discord
A empresa de segurança Menlo Labs emitiu um aviso sobre um agente de ameaças que está usando o downloader PureCrypter para distribuir várias formas de malware para entidades governamentais nas regiões da Ásia-Pacífico e América do Norte.
Como parte desses ataques, os invasores estão usando o Discord para fins de distribuição, enquanto o domínio de uma organização sem fins lucrativos comandada está servindo como um servidor de comando e controle (C&C) para hospedar uma carga secundária. As vítimas visadas estão sendo atingidas por uma variedade de ameaças, incluindo Redline Stealer, AgentTesla, Eternity, Blackmoon e Philadelphia ransomware. O PureCrypter é um downloader sofisticado que oferece persistência e está disponível para compra desde março de 2021.
A ameaça é escrita em .NET, oferece suporte a diferentes tipos de injeção e mecanismos de defesa e pode ser personalizada com mensagens falsas e arquivos adicionais. Na campanha atual, os invasores estão hospedando o PureCrypter no Discord e usando e-mail para enviar um link para a carga aos alvos pretendidos, enquanto escondem o downloader dentro de arquivos ZIP protegidos por senha para contornar as defesas existentes. Depois que o carregador PureCrypter é executado no sistema, ele tenta buscar uma carga secundária do site de uma organização sem fins lucrativos comandada.
A carga útil foi identificada como o ladrão de informações AgentTesla, que está se comunicando com um servidor FTP no Paquistão para exfiltrar os dados da vítima. Menlo observa que o servidor provavelmente foi acessado usando credenciais comprometidas encontradas online.
Por que os agentes de ameaças estão usando plataformas legítimas de terceiros para distribuir malware?
Atores de ameaças estão usando plataformas legítimas de terceiros, como Discord, para distribuir malware porque essas plataformas fornecem um nível de anonimato e dificultam que as soluções de segurança detectem e bloqueiem a atividade maliciosa. Ao usar essas plataformas, os invasores podem criar contas falsas ou aproveitar contas legítimas para espalhar links ou arquivos maliciosos, que geralmente são disfarçados de conteúdo inofensivo. Além disso, o uso de plataformas de terceiros fornece aos invasores acesso a um grande número de vítimas em potencial, facilitando a localização e o direcionamento de sistemas vulneráveis.
Além disso, os invasores costumam usar domínios legítimos como um servidor de comando e controle (C&C) para evitar a detecção, pois o tráfego para esses domínios tem menos probabilidade de ser bloqueado por soluções de segurança.
No geral, o uso de plataformas legítimas de terceiros permite que os agentes de ameaças contornem as medidas de segurança e entreguem seu malware às vítimas com mais eficiência.
