通過 Discord 分發的 PureCrypter 惡意軟件

安全公司 Menlo Labs 已發出警告，稱一名威脅行為者正在使用 PureCrypter 下載器向亞太和北美地區的政府實體分發各種形式的惡意軟件。

作為這些攻擊的一部分，攻擊者使用 Discord 進行分發，同時徵用了一個非營利組織的域作為命令和控制 (C&C) 服務器來託管輔助有效負載。目標受害者受到一系列威脅，包括 Redline Stealer、AgentTesla、Eternity、Blackmoon 和 Philadelphia 勒索軟件。 PureCrypter 是一款複雜的下載器，提供持久性，自 2021 年 3 月起可供購買。

該威脅是用 .NET 編寫的，支持不同的注入類型和防禦機制，並且可以使用虛假消息和附加文件進行自定義。在當前的活動中，攻擊者在 Discord 上託管 PureCrypter，並使用電子郵件將有效負載的鏈接發送到預期目標，同時將下載程序隱藏在受密碼保護的 ZIP 文件中以繞過現有防禦措施。一旦 PureCrypter 加載程序在系統上執行，它就會嘗試從被徵用的非營利組織的網站上獲取輔助有效負載。

有效負載已被確定為 AgentTesla 信息竊取器，它正在與巴基斯坦的 FTP 服務器通信以竊取受害者數據。 Menlo 指出，服務器很可能是使用在網上找到的受損憑據訪問的。

為什麼威脅行為者使用第三方合法平台來分發惡意軟件？

威脅行為者正在使用第三方合法平台（例如 Discord）來分發惡意軟件，因為這些平台提供了一定程度的匿名性，使安全解決方案難以檢測和阻止惡意活動。通過使用這些平台，攻擊者可以創建虛假帳戶或利用合法帳戶傳播惡意鏈接或文件，這些鏈接或文件通常偽裝成無害內容。此外，使用第三方平台為攻擊者提供了接觸大量潛在受害者的途徑，使他們更容易找到並瞄準易受攻擊的系統。

此外，攻擊者經常使用合法域作為命令和控制 (C&C) 服務器來逃避檢測，因為到這些域的流量不太可能被安全解決方案阻止。

總的來說，使用第三方合法平台可以讓威脅行為者繞過安全措施，更有效地將他們的惡意軟件傳遞給受害者。