PureCrypter é um novo carregador de malware que está sendo desenvolvido por um agente de ameaças conhecido como PureCoder. A carregadeira está cheia de recursos e foi vendida em mercados subterrâneos desde pelo menos março 2021, de acordo com um novo relatório de pesquisadores da Zscaler.
Carregador PureCrypter: uma visão geral
PureCrypter é um executável .NET ofuscado com SmartAssembly. Ele usa compressão, criptografia e ofuscação para contornar a detecção por programas antivírus. A carregadeira está à venda por apenas $59. O criador de malware vem com as seguintes opções:
- Mensagens falsas, como mensagens de erro falsas exibidas às vítimas;
- Encadernador, ou um arquivo adicional a ser gravado no disco;
- Tipos de injeção, ou vários métodos para carregar o estágio final;
- Persistência na inicialização do sistema;
- Recursos opcionais, composto principalmente por mecanismos de defesa;
- Ferramentas adicionais, como o construtor de macros do Office e o Downloader, mais provável para a infecção inicial.
O carregador de malware foi usado para entregar as seguintes famílias de malware, de acordo com pesquisadores do ThreatLabz:
- Agente Tesla;
- Arkei;
- AsyncRAT;
- Azorult;
- DcRAT;
- LokiBotStealer;
- Nanocore;
- RedLineStealer;
- Remco;
- SnakeKeylogger;
- WarzoneRAT.
A equipe do Zscaler analisou uma amostra específica do PureCrypt que continha um arquivo .bat falso como um componente de primeiro estágio. Contudo, o arquivo é, na verdade, um simples downloader .NET que executa a carga útil do segundo estágio na memória. O downloader de primeiro estágio provavelmente faz parte do pacote PureCrypter, com o segundo estágio sendo a carga útil principal. Este último descriptografa vários recursos e analisa um arquivo de configuração interno que define as configurações do malware.
Assim que essas etapas forem concluídas, o malware injeta a carga útil final dentro de outro processo. Na amostra examinada, PureCrypter injetou uma amostra SnakeKeylogger dentro do processo MSBuild.exe.
Vale ressaltar que a amostra PureCrypter de segundo estágio continha 2 Recursos: a variante SnakeKeylogger com bytes revertidos e compactados com gzip, e uma biblioteca .NET somente de recursos que contém os dois arquivos compactados a seguir (bruto inflar) bibliotecas:
- Biblioteca Costura para incorporar referências como recursos;
- Biblioteca Protobuf para desserialização de objetos.
O uso do formato protobuf do Google torna o malware mais adaptável, Considerando que o uso de inversão, cargas úteis compactadas e criptografadas tornam mais desafiador para os mecanismos antivírus, Os pesquisadores concluiu.
Outros carregadores de malware desenvolvidos recentemente incluem Pronto para SVC, Xloader, ChromeLoader.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: