PureCrypter

Eine Gruppe von Cyberkriminellen hat Regierungsbehörden im asiatisch-pazifischen Raum (APAC) und in Nordamerika mit einem Malware-Downloader namens PureCrypter angegriffen. Die hinter dem Angriff stehenden Cyberkriminellen konnten die Systeme dieser Organisationen infiltrieren und vertrauliche Informationen sammeln oder in einigen Fällen ihr System durch den Einsatz von Ransomware als Geisel nehmen. Die Schwere des Angriffs wird durch die Tatsache verstärkt, dass diese Regierungsbehörden oft sensible und geheime Informationen speichern, was sie zu Hauptzielen für Cyberkriminelle macht.

Sicherheitsforscher fanden heraus, dass die Bedrohungsakteure Discord ausnutzten, um die anfängliche Nutzlast zu hosten, und auch eine gemeinnützige Organisation kompromittierten, um zusätzliche Hosts zu sammeln, die in der Kampagne verwendet wurden. Das bedeutet, dass die Angreifer eine legitime Plattform wie Discord verwendet haben, um die anfängliche Nutzlast der Malware zu verteilen, was es für Sicherheitssysteme schwierig macht, sie zu erkennen und zu blockieren. Die Malware ist dafür bekannt, mehrere verschiedene Malware-Stämme bereitzustellen, darunter Redline Stealer, AgentTesla , Eternity , Blackmoon und die Philadelphia Ransomware .

PureCrypter ist Teil einer mehrstufigen Angriffskette

Der Angriff, der den PureCrypter-Malware-Downloader verwendet, wird mit einer E-Mail initiiert, die eine Discord-Anwendungs-URL enthält. Diese URL führt zu einem PureCrypter-Beispiel, das in einem passwortgeschützten ZIP-Archiv enthalten ist. PureCrypter ist ein Malware-Downloader, der auf .NET-basierten Systemen läuft. Ihr Betreiber vermietet es an andere Cyberkriminelle, um verschiedene Arten von Malware zu verbreiten. Sobald der PureCrypter ausgeführt wird, ruft er die Nutzdaten der nächsten Stufe von einem Command-and-Control-Server (C2, C&C) ab und liefert sie aus. In diesem speziellen Fall war der von den Angreifern verwendete Command-and-Control-Server der kompromittierte Server einer gemeinnützigen Organisation.

Die von den Forschern analysierte Probe war AgentTesla, eine Art Malware, die Informationen vom Computer des Opfers sammelt. Nach dem Start stellt AgentTesla eine Verbindung zu einem in Pakistan ansässigen FTP-Server her, um die gesammelten Daten zu senden. Interessant ist, dass die Bedrohungsakteure keinen eigenen FTP-Server eingerichtet haben, sondern durchgesickerte Zugangsdaten verwendet haben, um die Kontrolle über einen bestehenden zu übernehmen. Durch die Verwendung eines bereits kompromittierten Servers verringern sie das Risiko, identifiziert zu werden, und minimieren ihre Rückverfolgung.

AgentTesla bleibt ein bedrohliches Werkzeug für Cyberkriminelle

AgentTesla ist eine Art von .NET-Malware, die in den letzten acht Jahren von Cyberkriminellen verwendet wurde, wobei die Nutzung Ende 2020 und Anfang 2021 ihren Höhepunkt erreichte. Trotz seines Alters bleibt AgentTesla eine hochleistungsfähige und kostengünstige Hintertür, die kontinuierlich eingesetzt wurde über die Jahre entwickelt und verbessert.

Eine der Schlüsselfunktionen von AgentTesla ist die Möglichkeit, die Tastenanschläge des Opfers zu protokollieren, wodurch Cyberkriminelle sensible Informationen wie Passwörter erfassen können. Die Malware kann auch Kennwörter sammeln, die in FTP-Clients, Webbrowsern oder E-Mail-Clients gespeichert sind. Darüber hinaus kann AgentTesla Screenshots vom Desktop des Opfers aufnehmen, die möglicherweise vertrauliche Informationen preisgeben. Es kann auch auf alle Daten zugreifen und diese abfangen, die in die Zwischenablage des Systems kopiert werden, einschließlich Texte, Passwörter und Kreditkartendetails. Nach der Erfassung können die Daten per FTP oder SMTP auf den Command and Control (C2)-Server exfiltriert werden.

Bei den PureCrypter-Angriffen nutzten die Angreifer eine Technik namens „Process Hollowing“, um die AgentTesla-Nutzlast in einen legitimen Prozess namens „cvtres.exe“ einzuschleusen. Diese Technik hilft, der Erkennung durch Sicherheitstools zu entgehen.

Um zu verhindern, dass die Kommunikation mit dem C2-Server und die Konfigurationsdateien von Tools zur Überwachung des Netzwerkverkehrs erkannt werden, verwendet AgentTesla die XOR-Verschlüsselung. Diese Verschlüsselungsmethode erschwert es Sicherheitssystemen, die Kommunikation der Malware mit dem C2-Server zu erkennen, was es zu einer schwierigen Bedrohung macht, sie zu erkennen und einzudämmen.