Ngày 27 tháng 2 năm 2023Ravie LakshmananRansomware / Tấn công mạng
Các tổ chức chính phủ ở Châu Á-Thái Bình Dương và Bắc Mỹ đang là mục tiêu của một tác nhân đe dọa không xác định với trình tải xuống phần mềm độc hại có sẵn được gọi là PureCrypter để cung cấp một loạt phần mềm đánh cắp thông tin và phần mềm tống tiền.
“Chiến dịch PureCrypter sử dụng tên miền của một tổ chức phi lợi nhuận bị xâm nhập làm cơ chế ra lệnh và kiểm soát (C2) để phân phối tải trọng thứ cấp,” nhà nghiên cứu Abhay Yadav của Menlo Security cho biết.
Các loại phần mềm độc hại khác nhau được phát tán bằng PureCrypter bao gồm RedLine Stealer, Agent Tesla, Eternity, Blackmoon (còn gọi là KRBanker) và ransomware Philadelphia.
Lần đầu tiên được ghi nhận vào tháng 6 năm 2022, PureCrypter được tác giả của nó rao bán với giá 59 USD cho quyền truy cập một tháng (hoặc 245 USD nếu mua một lần trọn đời) và có khả năng phân phối vô số phần mềm độc hại.
Vào tháng 12 năm 2022, PureCoder – nhà phát triển đằng sau chương trình – đã mở rộng danh sách các dịch vụ để bao gồm một trình ghi nhật ký và trình đánh cắp thông tin được gọi là PureLogs, được thiết kế để hút dữ liệu từ trình duyệt web, ví tiền điện tử và ứng dụng email. Nó có giá 99 đô la một năm (hoặc 199 đô la để truy cập trọn đời).
Trình tự lây nhiễm do Menlo Security nêu chi tiết bắt đầu bằng một email lừa đảo có chứa URL Discord trỏ đến thành phần giai đoạn đầu tiên, một kho lưu trữ ZIP được bảo vệ bằng mật khẩu, lần lượt tải phần mềm độc hại PureCrypter.
Về phần mình, trình tải sẽ liên hệ với trang web của tổ chức phi lợi nhuận bị vi phạm để tải trọng thứ hai, là một keylogger dựa trên .NET có tên là Agent Tesla.
Sau đó, cửa hậu sẽ thiết lập kết nối đến máy chủ FTP đặt tại Pakistan để lọc dữ liệu đã thu thập được, cho biết thông tin đăng nhập bị xâm phạm có thể đã được sử dụng để thực hiện hoạt động.
