PureCrypter è un nuovo caricatore di malware attualmente sviluppato da un attore di minacce noto come PureCoder. Il caricatore è completo ed è stato venduto nei mercati sotterranei almeno da marzo 2021, secondo un nuovo rapporto dei ricercatori di Zscaler.
Caricatore PureCrypter: una panoramica
PureCrypter è un eseguibile .NET offuscato con SmartAssembly. Usa la compressione, crittografia e offuscamento per aggirare il rilevamento da parte di programmi antivirus. Il caricatore è messo in vendita per un minimo di $59. Il generatore di malware viene fornito con le seguenti opzioni:
- Messaggi falsi come messaggi di errore falsi visualizzati alle vittime;
- Raccoglitore, o un file aggiuntivo da scrivere su disco;
- Tipi di iniezione, o vari metodi per caricare la fase finale;
- Persistenza all'avvio del sistema;
- Caratteristiche opzionali, costituito principalmente da meccanismi di difesa;
- Strumenti aggiuntivi, come il generatore di macro di Office e Downloader, molto probabilmente per l'infezione iniziale.
Il caricatore di malware è stato utilizzato per fornire le seguenti famiglie di malware, secondo i ricercatori di ThreatLabz:
- Agente Tesla;
- Arkei;
- AsyncRAT;
- Azorult;
- DcRAT;
- LokiBotStealer;
- Nanocore;
- RedLine Stealer;
- Remcos;
- Snake Keylogger;
- WarzoneRAT.
Il team di Zscaler ha analizzato un particolare campione di PureCrypt che conteneva un file .bat falso come componente di prima fase. Tuttavia, il file è infatti un semplice downloader .NET che esegue il payload del secondo stadio in memoria. Il downloader di prima fase è molto probabilmente una parte del pacchetto PureCrypter, con il secondo stadio come carico utile principale. Quest'ultimo decrittografa varie risorse e analizza un file di configurazione interno che imposta le impostazioni del malware.
Una volta completati questi passaggi, il malware inietta il payload finale all'interno di un altro processo. Nel campione esaminato, PureCrypter ha iniettato un esempio SnakeKeylogger all'interno del processo MSBuild.exe.
È interessante notare che il campione PureCrypter del secondo stadio conteneva 2 risorse: la variante SnakeKeylogger con byte invertiti e compressi con gzip, e una libreria .NET di sole risorse che contiene i due seguenti compressi (gonfiaggio grezzo) biblioteche:
- Libreria Costura per incorporare riferimenti come risorse;
- Libreria Protobuf per la deserializzazione degli oggetti.
L'utilizzo del formato protobuf di Google rende il malware più adattabile, mentre l'uso di invertito, i payload compressi e crittografati rendono più difficile per i motori antivirus, i ricercatori concluso.
Altri caricatori di malware sviluppati di recente includono SVC Pronto, XLoader, Caricatore Chrome.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: