PureCrypter est un nouveau chargeur de logiciels malveillants actuellement développé par un acteur malveillant connu sous le nom de PureCoder. Le chargeur est entièrement équipé et est vendu sur les marchés souterrains depuis au moins mars 2021, selon un nouveau rapport des chercheurs de Zscaler.
Chargeur PureCrypterComment: un aperçu
PureCrypter est un exécutable .NET masqué par SmartAssembly. Il utilise la compression, cryptage et obscurcissement pour contourner la détection par les programmes antivirus. Le chargeur est proposé à la vente pour aussi peu que $59. Le générateur de logiciels malveillants est livré avec les options suivantes:
- Faux messages tels qu'un faux message d'erreur affiché aux victimes;
- Liant, ou un fichier supplémentaire à écrire sur le disque;
- Modes d'injection, ou diverses méthodes pour charger l'étape finale;
- Persistance au démarrage du système;
- Caractéristiques optionnelles, constitué principalement de mécanismes de défense;
- Outils supplémentaires, tels que le constructeur de macros Office et le téléchargeur, très probablement pour l'infection initiale.
Le chargeur de logiciels malveillants a été utilisé pour fournir les familles de logiciels malveillants suivantes, selon les chercheurs de ThreatLabz:
- AgentTesla;
- Arkei;
- AsyncRAT;
- Azorult;
- DcRAT;
- LokiBotStealer;
- NanoCore;
- RedLineStealer;
- Remcos;
- SerpentKeylogger;
- WarzoneRAT.
L'équipe Zscaler a analysé un échantillon particulier de PureCrypt qui contenait un faux fichier .bat comme composant de première étape. Cependant, le fichier est en fait un simple téléchargeur .NET qui exécute la charge utile de deuxième étape en mémoire. Le téléchargeur de première étape fait probablement partie du package PureCrypter, le deuxième étage étant la charge utile principale. Ce dernier décrypte diverses ressources et analyse un fichier de configuration interne qui définit les paramètres du malware.
Une fois ces étapes terminées, le logiciel malveillant injecte la charge utile finale dans un autre processus. Dans l'échantillon examiné, PureCrypter a injecté un échantillon SnakeKeylogger dans le processus MSBuild.exe.
Il est à noter que l'échantillon PureCrypter de deuxième étape contenait 2 Ressources: la variante SnakeKeylogger avec les octets inversés et compressés en gzip, et une bibliothèque .NET de ressources uniquement qui contient les deux éléments compressés suivants (gonfler brut) bibliothèques:
- Bibliothèque Costura pour intégrer des références en tant que ressources;
- bibliothèque Protobuf pour la désérialisation d'objets.
L'utilisation du format protobuf de Google rend le logiciel malveillant plus adaptable, tandis que l'utilisation de l'inverse, les charges utiles compressées et chiffrées compliquent la tâche des moteurs antivirus, les chercheurs conclu.
D'autres chargeurs de logiciels malveillants récemment développés incluent SVCReady, XLoader, ChromeLoader.