Các nhà nghiên cứu xem lại chi tiết tội phạm mạng PureCrypter Loader sử dụng để phát tán phần mềm độc hại

Trình tải phần mềm độc hại PureCrypter

Các nhà nghiên cứu an ninh mạng đã trình bày chi tiết hoạt động của một trình tải đầy đủ tính năng được đặt tên là PureCrypter chúng được tội phạm mạng mua để cung cấp trojan truy cập từ xa (RAT) và những kẻ đánh cắp thông tin.

Romain Dumont của Zscaler cho biết trong một báo cáo mới: “Bộ tải là một trình thực thi .NET được làm xáo trộn với SmartAssembly và sử dụng tính năng nén, và giải mã để tránh các sản phẩm phần mềm chống vi-rút”.

Một số họ phần mềm độc hại được phân phối bằng PureCrypter bao gồm Agent Tesla, Arkei, AsyncRAT, AZORult, DarkCrystal RAT (DCRat), LokiBot, NanoCore, RedLine Stealer, Remcos, Snake Keylogger và Warzone RAT.

Trình tải phần mềm độc hại PureCrypter

Được bán với giá 59 đô la bởi nhà phát triển của nó có tên “PureCoder” cho gói một tháng (và 249 đô la cho gói mua một lần trong đời) kể từ ít nhất tháng 3 năm 2021, PureCrypter được quảng cáo là “crypter duy nhất trên thị trường sử dụng ngoại tuyến và kỹ thuật giao hàng trực tuyến. “

Các chương đóng vai trò như lớp bảo vệ đầu tiên chống lại kỹ thuật đảo ngược và thường được sử dụng để đóng gói tải trọng độc hại. PureCrypter cũng có những gì nó nói là một cơ chế nâng cao để đưa phần mềm độc hại được nhúng vào các quy trình gốc và nhiều tùy chọn có thể cấu hình để đạt được sự bền bỉ khi khởi động và bật các tùy chọn bổ sung để bay theo radar.

Xem tiếp:   Các chuyên gia âm thanh cảnh báo trên DCRat Backdoor đang được bán trên các diễn đàn lấy cắp dữ liệu của Nga

Cũng được cung cấp là trình tạo macro Microsoft Office và trình tải xuống, làm nổi bật các tuyến lây nhiễm ban đầu tiềm ẩn có thể được sử dụng để truyền bá phần mềm độc hại.

Điều thú vị là, trong khi PureCoder lưu ý rằng “phần mềm chỉ được tạo ra cho mục đích giáo dục”, thì điều khoản dịch vụ (ToS) của nó lại cấm người mua tải công cụ lên cơ sở dữ liệu quét phần mềm độc hại như VirusTotal, Jotti và MetaDefender.

ToS cho biết thêm: “Bạn không được phép quét tệp đã mã hóa, vì bản thân máy quét đã được tích hợp sẵn một máy quét”.

Trong một mẫu được phân tích bởi Zscaler, một tệp hình ảnh đĩa (.IMG) được phát hiện có chứa trình tải xuống giai đoạn một, lần lượt, truy xuất và chạy mô-đun giai đoạn hai từ một máy chủ từ xa, sau đó sẽ đưa phần mềm độc hại cuối cùng vào bên trong các quy trình khác như MSBuild.

PureCryter cũng cung cấp một số tính năng đáng chú ý cho phép nó tự xóa khỏi máy bị xâm nhập và báo cáo tình trạng lây nhiễm cho tác giả thông qua Discord và .

.

Related Posts

Check Also

Shadow ID là gì và chúng quan trọng như thế nào vào năm 2022?

Ngay trước lễ Giáng sinh năm ngoái, trong một trường hợp đầu tiên, JPMorgan đã …