PureCrypter Malware distribueras genom Discord
Säkerhetsföretaget Menlo Labs har utfärdat en varning om en hotaktör som använder PureCrypter-nedladdaren för att distribuera olika former av skadlig programvara till statliga enheter i Asien-Stillahavsområdet och Nordamerika.
Som en del av dessa attacker använder angriparna Discord för distributionsändamål, medan en beordrad ideell organisations domän fungerar som en kommando-och-kontroll-server (C&C) för att vara värd för en sekundär nyttolast. De drabbade offren drabbas av en rad hot, inklusive Redline Stealer, AgentTesla, Eternity, Blackmoon och Philadelphia ransomware. PureCrypter är en sofistikerad nedladdare som erbjuder uthållighet och har varit tillgänglig för köp sedan mars 2021.
Hotet är skrivet i .NET, stöder olika injektionstyper och försvarsmekanismer, och kan anpassas med falska meddelanden och ytterligare filer. I den aktuella kampanjen är angriparna värd för PureCrypter på Discord och använder e-post för att skicka en länk till nyttolasten till de avsedda målen, samtidigt som de gömmer nedladdaren i lösenordsskyddade ZIP-filer för att kringgå befintliga försvar. När PureCrypter-lastaren har körts på systemet försöker den hämta en sekundär nyttolast från en beordrad ideell organisations webbplats.
Nyttolasten har identifierats som AgentTeslas informationsstöldare, som kommunicerar med en FTP-server i Pakistan för att exfiltrera offerdata. Menlo noterar att servern troligen nåddes med komprometterade referenser som hittats online.
Varför använder hotaktörer legitima plattformar från tredje part för att distribuera skadlig programvara?
Hotaktörer använder tredje parts legitima plattformar, som Discord, för att distribuera skadlig programvara eftersom dessa plattformar ger en nivå av anonymitet och gör det svårt för säkerhetslösningar att upptäcka och blockera den skadliga aktiviteten. Genom att använda dessa plattformar kan angriparna skapa falska konton eller utnyttja legitima för att sprida skadliga länkar eller filer, som ofta är förklädda som ofarligt innehåll. Användning av tredjepartsplattformar ger dessutom angriparna tillgång till ett stort antal potentiella offer, vilket gör det lättare för dem att hitta och rikta in sig på sårbara system.
Dessutom använder angripare ofta legitima domäner som en kommando-och-kontroll-server (C&C) för att undvika upptäckt, eftersom trafik till dessa domäner är mindre benägna att blockeras av säkerhetslösningar.
Sammantaget tillåter användningen av tredje parts legitima plattformar hotaktörer att kringgå säkerhetsåtgärder och mer effektivt leverera sin skadliga programvara till offer.
