Вредоносное ПО PureCrypter распространяется через Discord

Компания Menlo Labs, занимающаяся безопасностью, выпустила предупреждение о злоумышленнике, который использует загрузчик PureCrypter для распространения различных форм вредоносного ПО среди государственных организаций в Азиатско-Тихоокеанском регионе и Северной Америке.

В рамках этих атак злоумышленники используют Discord для целей распространения, в то время как домен некоммерческой организации используется в качестве сервера управления и контроля (C&C) для размещения вторичной полезной нагрузки. Целевые жертвы подвергаются целому ряду угроз, включая программы-вымогатели Redline Stealer, AgentTesla, Eternity, Blackmoon и Philadelphia. PureCrypter — это сложный загрузчик, который обеспечивает постоянство и доступен для покупки с марта 2021 года.

Угроза написана на .NET, поддерживает различные типы инъекций и механизмы защиты, ее можно настроить с помощью поддельных сообщений и дополнительных файлов. В текущей кампании злоумышленники размещают PureCrypter на Discord и используют электронную почту для отправки ссылки на полезную нагрузку намеченным целям, при этом скрывая загрузчик в ZIP-файлах, защищенных паролем, чтобы обойти существующие средства защиты. Как только загрузчик PureCrypter запускается в системе, он пытается получить вторичную полезную нагрузку с веб-сайта реквизированной некоммерческой организации.

Полезная нагрузка была идентифицирована как похититель информации AgentTesla, который связывается с FTP-сервером в Пакистане для эксфильтрации данных жертв. Менло отмечает, что доступ к серверу, скорее всего, был осуществлен с использованием скомпрометированных учетных данных, найденных в Интернете.

Почему злоумышленники используют сторонние законные платформы для распространения вредоносного ПО?

Злоумышленники используют сторонние законные платформы, такие как Discord, для распространения вредоносных программ, поскольку эти платформы обеспечивают определенный уровень анонимности и затрудняют обнаружение и блокирование вредоносных действий решениями по обеспечению безопасности. Используя эти платформы, злоумышленники могут создавать поддельные учетные записи или использовать легитимные для распространения вредоносных ссылок или файлов, которые часто маскируются под безобидный контент. Кроме того, использование сторонних платформ предоставляет злоумышленникам доступ к большому количеству потенциальных жертв, облегчая им поиск уязвимых систем и нацеливание на них.

Кроме того, злоумышленники часто используют законные домены в качестве командно-контрольных (C&C) серверов, чтобы избежать обнаружения, поскольку трафик на эти домены с меньшей вероятностью будет заблокирован решениями безопасности.

В целом, использование сторонних законных платформ позволяет злоумышленникам обходить меры безопасности и более эффективно доставлять вредоносное ПО жертвам.