PureCrypter
Un groupe de cybercriminels a attaqué des entités gouvernementales dans les régions Asie-Pacifique (APAC) et Amérique du Nord avec un téléchargeur de logiciels malveillants appelé PureCrypter. Les cybercriminels à l'origine de l'attaque ont pu infiltrer les systèmes de ces organisations et collecter des informations sensibles ou, dans certains cas, prendre leur système en otage en utilisant des rançongiciels. La gravité de l'attaque est aggravée par le fait que ces entités gouvernementales stockent souvent des informations sensibles et classifiées, ce qui en fait des cibles de choix pour les cybercriminels.
Les chercheurs en sécurité ont découvert que les acteurs de la menace exploitaient Discord pour héberger la charge utile initiale et compromettaient également une organisation à but non lucratif pour obtenir des hôtes supplémentaires utilisés dans la campagne. Cela signifie que les attaquants ont utilisé une plate-forme légitime telle que Discord pour distribuer la charge utile initiale du logiciel malveillant, ce qui rend difficile la détection et le blocage des systèmes de sécurité. Le logiciel malveillant est connu pour diffuser plusieurs souches de logiciels malveillants différentes, notamment Redline Stealer, AgentTesla , Eternity , Blackmoon et Philadelphia Ransomware .
PureCrypter fait partie d'une chaîne d'attaque en plusieurs étapes
L'attaque qui utilise le téléchargeur de logiciels malveillants PureCrypter est lancée avec un e-mail contenant une URL d'application Discord. Cette URL mène à un échantillon PureCrypter contenu dans une archive ZIP protégée par mot de passe. PureCrypter est un téléchargeur de logiciels malveillants qui fonctionne sur les systèmes basés sur .NET. Son opérateur le loue à d'autres cybercriminels dans le but de diffuser divers types de logiciels malveillants. Une fois que PureCrypter est exécuté, il récupère et fournit la charge utile de l'étape suivante à partir d'un serveur de commande et de contrôle (C2, C&C). Dans ce cas précis, le serveur Command and Control utilisé par les acteurs de la menace était le serveur compromis d'une organisation à but non lucratif.
L'échantillon analysé par les chercheurs était AgentTesla, un type de malware qui collecte des informations sur l'ordinateur de la victime. Une fois lancé, AgentTesla établit une connexion à un serveur FTP basé au Pakistan pour envoyer les données collectées. Ce qui est intéressant, c'est que les acteurs de la menace n'ont pas configuré leur propre serveur FTP, mais ont plutôt utilisé des informations d'identification divulguées pour prendre le contrôle d'un serveur existant. En utilisant un serveur déjà compromis, ils réduisent les risques d'être identifiés et minimisent leur trace.
AgentTesla reste un outil cybercriminel menaçant
AgentTesla est un type de logiciel malveillant .NET qui a été utilisé par les cybercriminels au cours des huit dernières années, avec un pic d'utilisation fin 2020 et début 2021. Malgré son âge, AgentTesla reste une porte dérobée très performante et rentable qui a été continuellement développé et amélioré au fil des ans.
L'une des fonctionnalités clés d'AgentTesla est la capacité d'enregistrer les frappes de la victime, permettant aux cybercriminels de capturer des informations sensibles, telles que les mots de passe. Le logiciel malveillant peut également collecter des mots de passe enregistrés dans des clients FTP, des navigateurs Web ou des clients de messagerie. De plus, AgentTesla peut capturer des captures d'écran du bureau de la victime, révélant potentiellement des informations confidentielles. Il peut également accéder et intercepter toutes les données copiées dans le presse-papiers du système, y compris les textes, les mots de passe et les détails de la carte de crédit. Une fois collectées, les données peuvent être exfiltrées vers le serveur Command and Control (C2) via FTP ou SMTP.
Dans les attaques de PureCrypter, les acteurs de la menace ont utilisé une technique appelée "process hollowing" pour injecter la charge utile AgentTesla dans un processus légitime appelé "cvtres.exe". Cette technique permet d'échapper à la détection des outils de sécurité.
Pour éviter que ses communications avec le serveur C2 et les fichiers de configuration ne soient détectés par les outils de surveillance du trafic réseau, AgentTesla utilise le cryptage XOR. Cette méthode de cryptage rend difficile la détection par les systèmes de sécurité de la communication du logiciel malveillant avec le serveur C2, ce qui en fait une menace difficile à détecter et à atténuer.
