通过 Discord 分发的 PureCrypter 恶意软件
安全公司 Menlo Labs 已发出警告,称一名威胁行为者正在使用 PureCrypter 下载器向亚太和北美地区的政府实体分发各种形式的恶意软件。
作为这些攻击的一部分,攻击者使用 Discord 进行分发,同时征用了一个非营利组织的域作为命令和控制 (C&C) 服务器来托管辅助有效负载。目标受害者受到一系列威胁,包括 Redline Stealer、AgentTesla、Eternity、Blackmoon 和 Philadelphia 勒索软件。 PureCrypter 是一款复杂的下载器,提供持久性,自 2021 年 3 月起可供购买。
该威胁是用 .NET 编写的,支持不同的注入类型和防御机制,并且可以使用虚假消息和附加文件进行自定义。在当前的活动中,攻击者在 Discord 上托管 PureCrypter,并使用电子邮件将有效负载的链接发送到预期目标,同时将下载程序隐藏在受密码保护的 ZIP 文件中以绕过现有防御措施。一旦 PureCrypter 加载程序在系统上执行,它就会尝试从被征用的非营利组织的网站上获取辅助有效负载。
有效负载已被确定为 AgentTesla 信息窃取器,它正在与巴基斯坦的 FTP 服务器通信以窃取受害者数据。 Menlo 指出,服务器很可能是使用在网上找到的受损凭据访问的。
为什么威胁行为者使用第三方合法平台来分发恶意软件?
威胁行为者正在使用第三方合法平台(例如 Discord)来分发恶意软件,因为这些平台提供了一定程度的匿名性,使安全解决方案难以检测和阻止恶意活动。通过使用这些平台,攻击者可以创建虚假帐户或利用合法帐户传播恶意链接或文件,这些链接或文件通常伪装成无害内容。此外,使用第三方平台为攻击者提供了接触大量潜在受害者的途径,使他们更容易找到并瞄准易受攻击的系统。
此外,攻击者经常使用合法域作为命令和控制 (C&C) 服务器来逃避检测,因为到这些域的流量不太可能被安全解决方案阻止。
总的来说,使用第三方合法平台可以让威胁行为者绕过安全措施,更有效地将他们的恶意软件传递给受害者。