Хакеры используют PureCrypter для загрузки Agent Tesla, Arkei, AsyncRAT, AZORult, DarkCrystal RAT, LokiBot, NanoCore и пр.
Специалисты ИБ-компании Zscaler опубликовали подробности о полнофункциональном загрузчике вредоносного ПО PureCrypter, использующемся киберпреступниками для доставки на атакуемые системы троянов для удаленного доступа (RAT) и инфостилеров.
Загрузчик представляет собой исполняемый файл на .NET, обфусцированный с помощью SmartAssembly для обхода обнаружения антивирусными решениями.
Киберпреступники используют PureCrypter для загрузки Agent Tesla, Arkei, AsyncRAT, AZORult, DarkCrystal RAT (DCRat), LokiBot, NanoCore, RedLine Stealer, Remcos, Snake Keylogger и Warzone RAT.
Вредонос, создателем которого является некто PureCoder, можно арендовать на хакерских форумах по цене $59 в месяц. Кроме того, его можно купить полностью за $249. С марта 2021 года PureCrypter рекламируется создателем как «единственный криптор на рынке, использующий техники доставки как offline, так и online».
Крипторы выполняют функцию первого слоя защиты от реверс-инжиниринга и обычно используются для упаковки вредоносного ПО. PureCrypter также оснащен механизмом для внедрения встроенного вредоносного ПО в родные процессы, а также различными опциями конфигурации для обеспечения постоянства на атакуемой системе и обхода обнаружения.
Автор вредоноса не поленился отметить, что PureCrypter «создан исключительно в образовательных целях», однако его пользовательское соглашение запрещает покупателям загружать инструмент в VirusTotal, Jotti и MetaDefender.
Проанализировав один из образцов PureCrypter, специалисты Zscaler обнаружили, что файл образа диска (.IMG) содержал загрузчик первого этапа, который в свою очередь извлекал с удаленного сервера и запускал модуль второго этапа, внедрявшего финальную полезную нагрузку в процессы наподобие MSBuild.
PureCryter также оснащен функцией самоудаления со взломанной машины и функцией оповещения о статусе заражения через Discord и Telegram.
Источник: securitylab