PureCrypter er en ny malware-indlæser, der i øjeblikket udvikles af en trusselsaktør kendt som PureCoder. Læsseren er fuldt udstyret og er blevet solgt på underjordiske markeder siden mindst marts 2021, ifølge en ny rapport fra Zscaler-forskere.
PureCrypter Loader: et overblik
PureCrypter er en .NET eksekverbar fil, der er sløret med SmartAssembly. Den bruger kompression, kryptering og sløring for at omgå detektion af antivirusprogrammer. Læsseren udbydes til salg for så lidt som $59. Malwarebyggeren kommer med følgende muligheder:
- Falske meddelelser, såsom falske fejlmeddelelser, der vises til ofrene;
- Ringbind, eller en ekstra fil, der skal skrives til disken;
- Injektionstyper, eller forskellige metoder til at indlæse den sidste fase;
- Vedholdenhed ved systemstart;
- Valgfri funktioner, mest bestående af forsvarsmekanismer;
- Yderligere værktøjer, såsom Office makrobygger og Downloader, højst sandsynligt for den første infektion.
Malwareindlæseren er blevet brugt til at levere følgende malware-familier, ifølge ThreatLabz forskere:
- AgentTesla;
- Arkei;
- AsyncRAT;
- Azorult;
- DcRAT;
- LokiBotStealer;
- Nanocore;
- RedLineStealer;
- Remcos;
- SnakeKeylogger;
- WarzoneRAT.
Zscaler-teamet analyserede en bestemt prøve af PureCrypt, der indeholdt en falsk .bat-fil som en første-fase-komponent. Men, filen er faktisk en simpel .NET-downloader, der udfører anden-trins nyttelast i hukommelsen. Første-trins-downloaderen er højst sandsynligt en del af PureCrypter-pakken, hvor anden fase er den vigtigste nyttelast. Sidstnævnte dekrypterer forskellige ressourcer og analyserer en intern konfigurationsfil, der angiver malwarens indstillinger.
Når disse trin er gennemført, malwaren injicerer den endelige nyttelast i en anden proces. I den undersøgte prøve, PureCrypter injicerede en SnakeKeylogger-prøve i MSBuild.exe-processen.
Det er bemærkelsesværdigt, at den anden fase af PureCrypter prøven indeholdt 2 ressourcer: SnakeKeylogger-varianten med bytes omvendt og gzip-komprimeret, og et ressource-kun .NET-bibliotek, der indeholder følgende to komprimerede (rå puste op) biblioteker:
- Costura-bibliotek til at indlejre referencer som ressourcer;
- Protobuf-bibliotek til objektdeserialisering.
Brugen af Googles protobuf-format gør malwaren mere tilpasningsdygtig, hvorimod brugen af omvendt, komprimerede og krypterede nyttelaster gør det mere udfordrende for antivirusmotorer, forskerne indgået.
Andre nyligt udviklede malware-indlæsere inkluderer SVCKlar, XLoader, ChromeLoader.