Ένας παράγοντας απειλών στοχεύει κυβερνητικές οντότητες με πρόγραμμα λήψης κακόβουλου λογισμικού PureCrypter που παρέχει πολλαπλούς κλέφτες πληροφοριών και στελέχη ransomware.
Ερευνητές στο Menlo Security ανακάλυψαν ότι ο παράγοντας απειλών χρησιμοποίησε το Discord για να φιλοξενήσει το αρχικό επικίνδυνο φορτίο και παραβίασε έναν μη κερδοσκοπικό οργανισμό για να αποθηκεύσει επιπλέον κεντρικούς υπολογιστές που χρησιμοποιήθηκαν στην καμπάνια.
«Βρέθηκε ότι η καμπάνια παρέδωσε διάφορους τύπους κακόβουλου λογισμικού, συμπεριλαμβανομένων των Redline Stealer, AgentTesla, Eternity, Blackmoon και Philadelphia Ransomware»,λένε οι ερευνητές.
Σύμφωνα με τους ερευνητές, το PureCrypter που παρατηρήθηκε στόχευε σε πολλαπλούς κυβερνητικούς οργανισμούς στις περιοχές Ασίας-Ειρηνικού (APAC) και Βόρειας Αμερικής.
Η επίθεση ξεκινά με ένα email που έχει μια διεύθυνση URL εφαρμογής Discord που δείχνει σε ένα δείγμα PureCrypter σε ένα αρχείο ZIP που προστατεύεται με κωδικό πρόσβασης.
Το PureCrypter είναι ένα πρόγραμμα λήψης κακόβουλου λογισμικού που βασίζεται σε .NET που πρωτοεμφανίστηκε στη φύση τον Μάρτιο του 2021. Ο χειριστής του το νοικιάζει σε άλλους εγκληματίες του κυβερνοχώρου για τη διανομή διαφόρων τύπων κακόβουλου λογισμικού.
Όταν εκτελείται, παραδίδει το φορτίο επόμενου σταδίου από έναν διακομιστή εντολών και ελέγχου, ο οποίος είναι ο παραβιασμένος διακομιστής ενός μη κερδοσκοπικού οργανισμού σε αυτήν την περίπτωση.
Το δείγμα που ανέλυσαν οι ερευνητές της Menlo Security ήταν ο AgentTesla. Όταν εκκινηθεί, δημιουργεί μια σύνδεση με έναν διακομιστή FTP με έδρα το Πακιστάν που χρησιμοποιείται για τη λήψη των κλεμμένων δεδομένων.
Οι ερευνητές διαπίστωσαν ότι οι παράγοντες απειλών χρησιμοποίησαν διαπιστευτήρια που διέρρευσαν για να πάρουν τον έλεγχο του συγκεκριμένου διακομιστή FTP αντί να τον εγκαταστήσουν τον δικό τους, για να μειώσουν τους κινδύνους αναγνώρισης και να ελαχιστοποιήσουν τα ίχνη τους.