PureCrypter
Un grupo de ciberdelincuentes ha estado atacando entidades gubernamentales en las regiones de Asia-Pacífico (APAC) y América del Norte con un descargador de malware llamado PureCrypter. Los ciberdelincuentes detrás del ataque pudieron infiltrarse en los sistemas de estas organizaciones y recopilar información confidencial o, en algunos casos, mantener su sistema como rehén mediante el uso de ransomware. La gravedad del ataque se ve agravada por el hecho de que estas entidades gubernamentales suelen almacenar información confidencial y clasificada, lo que las convierte en objetivos principales de los ciberdelincuentes.
Los investigadores de seguridad descubrieron que los actores de amenazas explotaron Discord para alojar la carga útil inicial y también comprometieron a una organización sin fines de lucro como una forma de obtener hosts adicionales utilizados en la campaña. Esto significa que los atacantes utilizaron una plataforma legítima como Discord para distribuir la carga útil inicial del malware, lo que dificulta que los sistemas de seguridad lo detecten y bloqueen. El malware es conocido por entregar varias cepas de malware diferentes, incluidas Redline Stealer, AgentTesla , Eternity , Blackmoon y Philadelphia Ransomware .
PureCrypter es parte de una cadena de ataque de varias etapas
El ataque que utiliza el descargador de malware PureCrypter se inicia con un correo electrónico que contiene una URL de la aplicación Discord. Esta URL conduce a una muestra de PureCrypter que se encuentra dentro de un archivo ZIP protegido con contraseña. PureCrypter es un descargador de malware que funciona en sistemas basados en .NET. Su operador lo alquila a otros ciberdelincuentes con el fin de distribuir varios tipos de malware. Una vez que se ejecuta PureCrypter, obtiene y entrega la carga útil de la siguiente etapa desde un servidor de comando y control (C2, C&C). En este caso específico, el servidor de Comando y Control utilizado por los actores de la amenaza era el servidor comprometido de una organización sin fines de lucro.
La muestra analizada por los investigadores fue AgentTesla, un tipo de malware que recopila información del ordenador de la víctima. Una vez lanzado, AgentTesla establece una conexión con un servidor FTP basado en Pakistán para enviar los datos recopilados. Lo interesante es que los actores de la amenaza no configuraron su propio servidor FTP, sino que usaron credenciales filtradas para tomar el control de uno existente. Al utilizar un servidor ya comprometido, reducen los riesgos de ser identificados y minimizan su rastro.
AgentTesla sigue siendo una herramienta cibercriminal amenazante
AgentTesla es un tipo de malware .NET que los ciberdelincuentes han utilizado durante los últimos ocho años, y su uso alcanzó su punto máximo a fines de 2020 y principios de 2021. A pesar de su antigüedad, AgentTesla sigue siendo una puerta trasera rentable y de gran capacidad que ha sido continuamente desarrollado y mejorado a lo largo de los años.
Una de las capacidades clave de AgentTesla es la capacidad de registrar las pulsaciones de teclas de la víctima, lo que permite a los ciberdelincuentes capturar información confidencial, como contraseñas. El malware también puede recopilar contraseñas que se guardan en clientes FTP, navegadores web o clientes de correo electrónico. Además, AgentTesla puede capturar capturas de pantalla del escritorio de la víctima, lo que podría revelar información confidencial. También puede acceder e interceptar cualquier dato que se copie en el portapapeles del sistema, incluidos textos, contraseñas y detalles de tarjetas de crédito. Una vez recopilados, los datos se pueden filtrar al servidor de comando y control (C2) a través de FTP o SMTP.
En los ataques de PureCrypter, los actores de amenazas utilizaron una técnica llamada "vaciado de procesos" para inyectar la carga útil de AgentTesla en un proceso legítimo llamado 'cvtres.exe'. Esta técnica ayuda a evadir la detección de las herramientas de seguridad.
Para evitar que sus comunicaciones con el servidor C2 y los archivos de configuración sean detectados por las herramientas de supervisión del tráfico de red, AgentTesla utiliza el cifrado XOR. Este método de cifrado dificulta que los sistemas de seguridad detecten la comunicación del malware con el servidor C2, lo que lo convierte en una amenaza difícil de detectar y mitigar.
