Un acteur de la menace a ciblé des entités gouvernementales avec le téléchargeur de logiciels malveillants PureCrypter qui a été vu livrer plusieurs voleurs d’informations et souches de ransomwares.
Les chercheurs de Menlo Safety ont découvert que l’acteur de la menace utilisait Discord pour héberger la cost utile initiale et a compromis une organisation à however non lucratif pour stocker des hôtes supplémentaires utilisés dans la campagne.
« La campagne s’est avérée avoir livré plusieurs sorts de logiciels malveillants, notamment Redline Stealer, AgentTesla, Eternity, Blackmoon et Philadelphia Ransomware », a déclaré le disent les chercheurs.
Selon les chercheurs, la campagne PureCrypter observée ciblait plusieurs organisations gouvernementales dans les régions Asie-Pacifique (APAC) et Amérique du Nord.
Chaîne d’attaque
L’attaque begin par un e-mail contenant une URL d’utility Discord pointant vers un échantillon PureCrypter dans une archive ZIP protégée par mot de passe.
PureCrypter est un téléchargeur de logiciels malveillants basé sur .NET vu pour la première fois dans la nature en mars 2021. Son opérateur le loue à d’autres cybercriminels pour distribuer divers sorts de logiciels malveillants.
Une fois exécuté, il fournit la cost utile de l’étape suivante à partir d’un serveur de commande et de contrôle, qui est le serveur compromis d’une organisation à however non lucratif dans ce cas.
L’échantillon que les chercheurs de Menlo Safety ont analysé était AgentTesla. Une fois lancé, il établit une connexion à un serveur FTP basé au Pakistan qui est utilisé pour recevoir les données volées.
Les chercheurs ont découvert que les acteurs de la menace utilisaient des informations d’identification divulguées pour prendre le contrôle du serveur FTP particulier plutôt que de le configurer, afin de réduire les risques d’identification et de minimiser leur hint.
AgentTesla toujours utilisé
AgentTesla est une famille de logiciels malveillants .NET utilisée par les cybercriminels depuis huit ans. Son utilisation culmine fin 2020 et début 2021.
Une récente rapport de Cofense souligne que malgré son âge, AgentTesla reste une porte dérobée rentable et très performante qui a fait l’objet d’un développement et d’une amélioration continus au fil des ans.
L’activité d’enregistrement de frappe d’AgentTesla représentait environ un tiers de tous les rapports d’enregistrement de frappe enregistrés par Cofense Intelligence en 2022.
Les capacités du logiciel malveillant incluent les éléments suivants :
- Enregistrez les frappes de la victime pour capturer des informations sensibles telles que les mots de passe.
- Volez les mots de passe enregistrés dans les navigateurs Net, les purchasers de messagerie ou les purchasers FTP.
- Capturez des captures d’écran du bureau qui pourraient révéler des informations confidentielles.
- Interceptez les données copiées dans le presse-papiers, y compris les textes, les mots de passe et les détails de la carte de crédit.
- Exfiltrez les données volées vers le C2 by way of FTP ou SMTP.
Dans les attaques examinées par Menlo Labs, il a été découvert que les acteurs de la menace utilisaient le creusement de processus pour injecter la cost utile AgentTesla dans un processus légitime (« cvtres.exe ») afin d’échapper à la détection des outils antivirus.
De plus, AgentTesla utilise le cryptage XOR pour protéger ses communications avec le serveur C2, comme ses fichiers de configuration, des outils de surveillance du trafic réseau.
Menlo Safety estime que l’acteur de la menace derrière la campagne PureCrypter n’est pas majeur, mais il vaut la peine de surveiller son activité en raison du ciblage des entités gouvernementales.
Il est possible que l’attaquant continuera à utiliser l’infrastructure compromise aussi longtemps que attainable avant d’être obligé d’en trouver une nouvelle.
