PureCrypter ist ein neuer Malware-Loader, der derzeit von einem Bedrohungsakteur namens PureCoder entwickelt wird. Der Lader ist voll ausgestattet und wird seit mindestens März auf unterirdischen Märkten verkauft 2021, laut einem neuen Bericht von Zscaler-Forschern.
PureCrypter-Loader: ein Überblick
PureCrypter ist eine ausführbare .NET-Datei, die mit SmartAssembly verschleiert ist. Es verwendet Komprimierung, Verschlüsselung und Verschleierung, um die Erkennung durch Antivirenprogramme zu umgehen. Der Lader wird zum Verkauf angeboten für so wenig wie $59. Der Malware-Builder bietet die folgenden Optionen:
- Gefälschte Nachrichten wie gefälschte Fehlermeldungen, die den Opfern angezeigt werden;
- Bindemittel, oder eine zusätzliche Datei, die auf die Festplatte geschrieben werden soll;
- Injektionsarten, oder verschiedene Methoden zum Laden der Endstufe;
- Persistenz beim Systemstart;
- Optionale Funktionen, besteht hauptsächlich aus Abwehrmechanismen;
- Zusätzliche Werkzeuge, wie Office Macro Builder und Downloader, höchstwahrscheinlich für die Erstinfektion.
Der Malware-Loader wurde verwendet, um die folgenden Malware-Familien bereitzustellen, laut ThreatLabz-Forschern:
- Agent Tesla;
- Arkei;
- AsyncRAT;
- Azorult;
- DCRAT;
- LokiBotStealer;
- Nanokern;
- RedLineStealer;
- Remcos;
- SnakeKeylogger;
- WarzoneRAT.
Das Team von Zscaler analysierte eine bestimmte Probe von PureCrypt, die eine gefälschte .bat-Datei als Komponente der ersten Stufe enthielt. Jedoch, Die Datei ist tatsächlich ein einfacher .NET-Downloader, der die Nutzlast der zweiten Stufe im Speicher ausführt. Der Downloader der ersten Stufe ist höchstwahrscheinlich Teil des PureCrypter-Pakets, wobei die zweite Stufe die Hauptnutzlast ist. Letzterer entschlüsselt verschiedene Ressourcen und analysiert eine interne Konfigurationsdatei, die die Einstellungen der Malware festlegt.
Sobald diese Schritte abgeschlossen sind, Die Malware fügt die endgültige Nutzlast in einen anderen Prozess ein. In der untersuchten Probe, PureCrypter hat ein SnakeKeylogger-Beispiel in den MSBuild.exe-Prozess eingefügt.
Bemerkenswert ist, dass die zweite Stufe PureCrypter Sample enthielt 2 Ressourcen: die SnakeKeylogger-Variante mit umgekehrten Bytes und gzip-komprimiert, und eine Nur-Ressourcen-.NET-Bibliothek, die die folgenden zwei komprimierten enthält (roh aufblasen) Bibliotheken:
- Costura-Bibliothek zum Einbetten von Referenzen als Ressourcen;
- Protobuf-Bibliothek für die Deserialisierung von Objekten.
Die Verwendung des Protobuf-Formats von Google macht die Malware anpassungsfähiger, während die Verwendung von umgekehrt, komprimierte und verschlüsselte Payloads machen es für Antiviren-Engines zu einer größeren Herausforderung, die Forscher abgeschlossen.
Andere kürzlich entwickelte Malware-Ladeprogramme umfassen SVCBereit, XLoader, ChromeLoader.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: