通過 Discord 分發的 PureCrypter 惡意軟件
安全公司 Menlo Labs 已發出警告,稱一名威脅行為者正在使用 PureCrypter 下載器向亞太和北美地區的政府實體分發各種形式的惡意軟件。
作為這些攻擊的一部分,攻擊者使用 Discord 進行分發,同時徵用了一個非營利組織的域作為命令和控制 (C&C) 服務器來託管輔助有效負載。目標受害者受到一系列威脅,包括 Redline Stealer、AgentTesla、Eternity、Blackmoon 和 Philadelphia 勒索軟件。 PureCrypter 是一款複雜的下載器,提供持久性,自 2021 年 3 月起可供購買。
該威脅是用 .NET 編寫的,支持不同的注入類型和防禦機制,並且可以使用虛假消息和附加文件進行自定義。在當前的活動中,攻擊者在 Discord 上託管 PureCrypter,並使用電子郵件將有效負載的鏈接發送到預期目標,同時將下載程序隱藏在受密碼保護的 ZIP 文件中以繞過現有防禦措施。一旦 PureCrypter 加載程序在系統上執行,它就會嘗試從被徵用的非營利組織的網站上獲取輔助有效負載。
有效負載已被確定為 AgentTesla 信息竊取器,它正在與巴基斯坦的 FTP 服務器通信以竊取受害者數據。 Menlo 指出,服務器很可能是使用在網上找到的受損憑據訪問的。
為什麼威脅行為者使用第三方合法平台來分發惡意軟件?
威脅行為者正在使用第三方合法平台(例如 Discord)來分發惡意軟件,因為這些平台提供了一定程度的匿名性,使安全解決方案難以檢測和阻止惡意活動。通過使用這些平台,攻擊者可以創建虛假帳戶或利用合法帳戶傳播惡意鏈接或文件,這些鏈接或文件通常偽裝成無害內容。此外,使用第三方平台為攻擊者提供了接觸大量潛在受害者的途徑,使他們更容易找到並瞄準易受攻擊的系統。
此外,攻擊者經常使用合法域作為命令和控制 (C&C) 服務器來逃避檢測,因為到這些域的流量不太可能被安全解決方案阻止。
總的來說,使用第三方合法平台可以讓威脅行為者繞過安全措施,更有效地將他們的惡意軟件傳遞給受害者。