PureCrypter distribuisce info-stealer e ransomware

PureCrypter distribuisce info-stealer e ransomware

PureCrypter è un nuovo downloader che distribuisce ransomware e info-stealer, tra cui il noto AgentTesla, sfruttando i server di Discord.
PureCrypter è un nuovo downloader che distribuisce ransomware e info-stealer, tra cui il noto AgentTesla, sfruttando i server di Discord.

I ricercatori di Menlo Security hanno individuato diversi attacchi effettuati contro enti governativi sfruttando Discord per distribuire PureCrypter, un downloader che scarica sui computer delle vittime vari tipi di malware, tra cui noti info-stealer e ransomware. Queste minacce vengono fortunatamente rilevate e bloccate dalle principali soluzioni di sicurezza.

PureCrypter: catena di infezione

La catena di infezione inizia con l’invio di un’email di phishing che contiene il link ad un archivio ZIP ospitato su Discord. Al suo interno è nascosto il loader PureCrypt scritto in .NET. Quando eseguito scarica da un server remoto il secondo payload che, nel caso analizzato dagli esperti di Menlo Security, è il famigerato info-stealer AgentTesla.

Il malware comunica con un server FTP posizionato in Pakistan, al quale sono inviati i dati rubati dal computer. L’accesso al server avviene tramite credenziali rubate, quindi non appartiene ai cybercriminali. Il codice di AgentTesla è cifrato con l’algoritmo DES. Per aggirare le protezioni del sistema operativo e gli antivirus sfrutta la tecnica nota come process hollowing. In questo caso viene iniettato il codice nello spazio degli indirizzi del processo cvtres.exe presente in tutte le versioni di Windows.

AgentTesla è uno degli info-stealer più pericolosi in circolazione. Può rubare le password memorizzate nei browser e quelle di varie applicazioni, catturare screenshot, registrare i tasti premuti e intercettare il testo copiato negli appunti. Gli utenti devono installare una soluzione di sicurezza per bloccare questo tipo di minaccia.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 27 feb 2023
Link copiato negli appunti