PureCrypterは、PureCoderとして知られる脅威アクターによって現在開発されている新しいマルウェアローダーです。. ローダーはフル機能を備えており、少なくとも3月から地下市場で販売されています。 2021, Zscalerの研究者による新しいレポートによると.
PureCrypterローダー: 概要
PureCrypterは、SmartAssemblyで難読化された.NET実行可能ファイルです。. 圧縮を使用します, アンチウイルスプログラムによる検出をバイパスするための暗号化と難読化. ローダーはわずかな価格で販売されています $59. マルウェアビルダーには、次のオプションが付属しています:
- 被害者に表示される偽のエラーメッセージなどの偽のメッセージ;
- バインダー, またはディスクに書き込む追加のファイル;
- 注射の種類, または最終段階をロードするためのさまざまな方法;
- システム起動時の永続性;
- オプション機能, 主に防衛機制で構成されています;
- 追加のツール, Officeマクロビルダーやダウンローダーなど, 最初の感染の可能性が最も高い.
マルウェアローダーは、次のマルウェアファミリーを配信するために使用されています, ThreatLabzの研究者によると:
- AgentTesla;
- アルケイ;
- AsyncRAT;
- アゾルルト;
- DcRAT;
- LokiBotStealer;
- ナノコア;
- RedLineStealer;
- Remcos;
- SnakeKeylogger;
- WarzoneRAT.
Zscalerチームは、第1段階のコンポーネントとして偽の.batファイルを含むPureCryptの特定のサンプルを分析しました. でも, このファイルは、実際には、メモリ内の第2段階のペイロードを実行する単純な.NETダウンローダーです。. 第一段階のダウンローダーは、おそらくPureCrypterパッケージの一部です。, 第二段階が主なペイロードです. 後者は、さまざまなリソースを復号化し、マルウェアの設定を設定する内部構成ファイルを解析します.
これらの手順が完了したら, マルウェアは別のプロセス内に最終的なペイロードを注入します. 調べたサンプルでは, PureCrypterは、MSBuild.exeプロセス内にSnakeKeyloggerサンプルを挿入しました.
第2段階のPureCrypterサンプルに含まれていることは注目に値します 2 資力: バイトが反転され、gzip圧縮されたSnakeKeyloggerバリアント, および次の2つの圧縮されたものを含むリソースのみの.NETライブラリ (生の膨張) ライブラリ:
- リソースとして参照を埋め込むためのCosturaライブラリ;
- オブジェクトの逆シリアル化のためのProtobufライブラリ.
Googleのprotobuf形式を使用すると、マルウェアの適応性が高まります, 一方、逆の使用, 圧縮および暗号化されたペイロードは、ウイルス対策エンジンにとってより困難になります, 研究者 結論.
最近開発されたその他のマルウェアローダーには、 SVCReady, XLoader, ChromeLoader.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: