PureCrypter is een nieuwe malware-loader die momenteel wordt ontwikkeld door een bedreigingsactor die bekend staat als PureCoder. De lader is volledig uitgerust en wordt sinds minstens maart op ondergrondse markten verkocht 2021, volgens een nieuw rapport van Zscaler-onderzoekers.
PureCrypter Loader: een overzicht
PureCrypter is een .NET uitvoerbaar bestand verdoezeld met SmartAssembly. Het gebruikt compressie, encryptie en verduistering om detectie door antivirusprogramma's te omzeilen. De lader wordt te koop aangeboden voor slechts € $59. De malwarebuilder wordt geleverd met de volgende opties::
- Valse berichten zoals valse foutmeldingen die aan slachtoffers worden getoond;
- bindmiddel, of een extra bestand dat naar schijf moet worden geschreven;
- Injectietypes, of verschillende methoden om de laatste fase te laden;
- Persistentie bij het opstarten van het systeem;
- Optionele functies, voornamelijk bestaande uit afweermechanismen;
- Extra hulpmiddelen, zoals Office-macrobuilder en Downloader, hoogstwaarschijnlijk voor de eerste infectie.
De malwareloader is gebruikt om de volgende malwarefamilies te leveren:, volgens ThreatLabz-onderzoekers:
- AgentTesla;
- Arkei;
- AsyncRAT;
- Azorult;
- DcRAT;
- LokiBotStaler;
- Nanocore;
- RedLineStealer;
- RemcoS;
- SnakeKeylogger;
- WarzoneRAT.
Het Zscaler-team analyseerde een bepaald monster van PureCrypt dat een nep .bat-bestand bevatte als onderdeel van de eerste fase. Echter, het bestand is in feite een eenvoudige .NET-downloader die de payload van de tweede fase in het geheugen uitvoert. De downloader van de eerste fase maakt waarschijnlijk deel uit van het PureCrypter-pakket, waarbij de tweede trap de belangrijkste nuttige lading is. De laatste decodeert verschillende bronnen en parseert een intern configuratiebestand dat de instellingen van de malware instelt.
Zodra deze stappen zijn voltooid, de malware injecteert de uiteindelijke lading in een ander proces. In het onderzochte monster, PureCrypter heeft een SnakeKeylogger-monster geïnjecteerd in het MSBuild.exe-proces.
Het is opmerkelijk dat het PureCrypter-monster van de tweede fase 2 middelen: de SnakeKeylogger-variant met omgekeerde bytes en gzip-gecomprimeerd, en een .NET-bibliotheek met alleen bronnen die de volgende twee gecomprimeerde: (rauw opblazen) bibliotheken:
- Costura-bibliotheek om referenties als bronnen in te sluiten;
- Protobuf-bibliotheek voor deserialisatie van objecten.
Het gebruik van het protobuf-formaat van Google maakt de malware flexibeler, overwegende dat het gebruik van omgekeerde, gecomprimeerde en versleutelde payloads maken het uitdagender voor antivirus-engines, de onderzoekers gesloten.
Andere recent ontwikkelde malware-laders zijn onder meer: Klaar voor SVC, XLoader, ChromeLoader.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: