通过 Discord 分发的 PureCrypter 恶意软件

安全公司 Menlo Labs 已发出警告，称一名威胁行为者正在使用 PureCrypter 下载器向亚太和北美地区的政府实体分发各种形式的恶意软件。

作为这些攻击的一部分，攻击者使用 Discord 进行分发，同时征用了一个非营利组织的域作为命令和控制 (C&C) 服务器来托管辅助有效负载。目标受害者受到一系列威胁，包括 Redline Stealer、AgentTesla、Eternity、Blackmoon 和 Philadelphia 勒索软件。 PureCrypter 是一款复杂的下载器，提供持久性，自 2021 年 3 月起可供购买。

该威胁是用 .NET 编写的，支持不同的注入类型和防御机制，并且可以使用虚假消息和附加文件进行自定义。在当前的活动中，攻击者在 Discord 上托管 PureCrypter，并使用电子邮件将有效负载的链接发送到预期目标，同时将下载程序隐藏在受密码保护的 ZIP 文件中以绕过现有防御措施。一旦 PureCrypter 加载程序在系统上执行，它就会尝试从被征用的非营利组织的网站上获取辅助有效负载。

有效负载已被确定为 AgentTesla 信息窃取器，它正在与巴基斯坦的 FTP 服务器通信以窃取受害者数据。 Menlo 指出，服务器很可能是使用在网上找到的受损凭据访问的。

为什么威胁行为者使用第三方合法平台来分发恶意软件？

威胁行为者正在使用第三方合法平台（例如 Discord）来分发恶意软件，因为这些平台提供了一定程度的匿名性，使安全解决方案难以检测和阻止恶意活动。通过使用这些平台，攻击者可以创建虚假帐户或利用合法帐户传播恶意链接或文件，这些链接或文件通常伪装成无害内容。此外，使用第三方平台为攻击者提供了接触大量潜在受害者的途径，使他们更容易找到并瞄准易受攻击的系统。

此外，攻击者经常使用合法域作为命令和控制 (C&C) 服务器来逃避检测，因为到这些域的流量不太可能被安全解决方案阻止。

总的来说，使用第三方合法平台可以让威胁行为者绕过安全措施，更有效地将他们的恶意软件传递给受害者。