Un attore minaccioso ha preso di mira enti governativi con il downloader di malware PureCrypter, che è stato visto consegnare molteplici rubatori di informazioni e ceppi di ransomware.
I ricercatori di Menlo Security hanno scoperto che l’attore minaccioso ha utilizzato Discord per ospitare il carico iniziale e ha compromesso un’organizzazione non profit per archiviare host aggiuntivi utilizzati nella campagna.
“Il campagna è stata scoperta per aver consegnato vari tipi di malware tra cui Redline Stealer, AgentTesla, Eternity, Blackmoon e Philadelphia Ransomware”, dicono i ricercatori.
Secondo i ricercatori, la campagna PureCrypter osservata ha preso di mira molte organizzazioni governative nelle regioni Asia-Pacifico (APAC) e Nord America.
La catena di attacco inizia con una email che ha un URL dell’app Discord che punta a un campione di PureCrypter in un archivio ZIP protetto da password.
PureCrypter è un downloader di malware basato su .NET visto per la prima volta in natura a marzo 2021. Il suo operatore lo affitta ad altri criminali informatici per distribuire vari tipi di malware.
Quando viene eseguito, consegna il carico utile della fase successiva da un server di comando e controllo, che è il server compromesso di un’organizzazione non profit in questo caso.
Il campione che i ricercatori di Menlo Security hanno analizzato era AgentTesla. Quando viene avviato, stabilisce una connessione a un server FTP con sede in Pakistan che viene utilizzato per ricevere i dati rubati.
I ricercatori hanno scoperto che gli attori minacciosi hanno usato credenziali trapelate per prendere il controllo del server FTP specifico invece di impostare il proprio, per ridurre i rischi di identificazione e minimizzare la loro traccia.
AgentTesla è ancora in uso
AgentTesla è una famiglia di malware basata su .NET che è stata utilizzata dai criminali informatici negli ultimi otto anni. Il suo utilizzo è aumentato drasticamente alla fine del 2020 e all’inizio del 2021.
Un recente rapporto di Cofense evidenzia che nonostante la sua età, AgentTesla rimane un backdoor economico e altamente capace che ha ricevuto sviluppo e miglioramento continuo nel corso degli anni.
L’attività di keylogging di AgentTesla rappresentava circa un terzo di tutti i rapporti di keylogger registrati da Cofense Intelligence nel 2022.
Le capacità del malware includono le seguenti:
- Registra le digitazioni della vittima per catturare informazioni sensibili come le password.
- Ruba le password salvate nei browser web, nei client di posta elettronica o nei client FTP.
- Cattura screenshot del desktop che potrebbero rivelare informazioni riservate.
- Intercepisce i dati copiati negli appunti, inclusi testi, password e dettagli della carta di credito.
- Esfila i dati rubati al C2 tramite FTP o SMTP.
