PureCrypter es un nuevo cargador de malware que actualmente está desarrollando un actor de amenazas conocido como PureCoder.. El cargador tiene todas las funciones y se ha vendido en mercados clandestinos desde al menos marzo. 2021, según un nuevo informe de los investigadores de Zscaler.
Cargador PureCrypter: una descripción general
PureCrypter es un ejecutable de .NET ofuscado con SmartAssembly. Utiliza compresión, encriptación y ofuscación para eludir la detección por parte de los programas antivirus. El cargador se ofrece a la venta por tan solo $59. El generador de malware viene con las siguientes opciones:
- Mensajes falsos, como mensajes de error falsos que se muestran a las víctimas;
- Aglutinante, o un archivo adicional para ser escrito en el disco;
- Tipos de inyección, o varios métodos para cargar la etapa final;
- Persistencia al inicio del sistema;
- Características opcionales, en su mayoría consiste en mecanismos de defensa;
- Herramientas adicionales, como Office macro builder y Downloader, lo más probable es que sea por la infección inicial.
El cargador de malware se ha utilizado para entregar las siguientes familias de malware, según los investigadores de ThreatLabz:
- AgenteTesla;
- Arkei;
- AsyncRAT;
- Azorult;
- DcRAT;
- LokiBotLadrón;
- Nanocore;
- Ladrón de líneas rojas;
- Remcos;
- Serpiente Keylogger;
- Zona de guerraRAT.
El equipo de Zscaler analizó una muestra particular de PureCrypt que contenía un archivo .bat falso como componente de primera etapa. Sin embargo, el archivo es, de hecho, un descargador .NET simple que ejecuta la carga útil de la segunda etapa en la memoria. Lo más probable es que el descargador de primera etapa forme parte del paquete PureCrypter, siendo la segunda etapa la carga útil principal. Este último descifra varios recursos y analiza un archivo de configuración interno que establece la configuración del malware..
Una vez completados estos pasos, el malware inyecta la carga útil final dentro de otro proceso. En la muestra examinada, PureCrypter inyectó una muestra de SnakeKeylogger dentro del proceso MSBuild.exe.
Cabe señalar que la muestra PureCrypter de segunda etapa contenía 2 recursos: la variante SnakeKeylogger con bytes invertidos y comprimidos con gzip, y una biblioteca .NET de solo recursos que contiene los siguientes dos archivos comprimidos (inflar crudo) bibliotecas:
- Biblioteca de Costura para incrustar referencias como recursos;
- Biblioteca Protobuf para deserialización de objetos..
El uso del formato protobuf de Google hace que el malware sea más adaptable, mientras que el uso de invertido, las cargas útiles comprimidas y encriptadas hacen que sea más desafiante para los motores antivirus, los investigadores concluido.
Otros cargadores de malware desarrollados recientemente incluyen Listo para SVC, XLoader, ChromeLoader.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: