I ricercatori di Menlo Security hanno individuato diversi attacchi effettuati contro enti governativi sfruttando Discord per distribuire PureCrypter, un downloader che scarica sui computer delle vittime vari tipi di malware, tra cui noti info-stealer e ransomware. Queste minacce vengono fortunatamente rilevate e bloccate dalle principali soluzioni di sicurezza.
PureCrypter: catena di infezione
La catena di infezione inizia con l’invio di un’email di phishing che contiene il link ad un archivio ZIP ospitato su Discord. Al suo interno è nascosto il loader PureCrypt scritto in .NET. Quando eseguito scarica da un server remoto il secondo payload che, nel caso analizzato dagli esperti di Menlo Security, è il famigerato info-stealer AgentTesla.
Il malware comunica con un server FTP posizionato in Pakistan, al quale sono inviati i dati rubati dal computer. L’accesso al server avviene tramite credenziali rubate, quindi non appartiene ai cybercriminali. Il codice di AgentTesla è cifrato con l’algoritmo DES. Per aggirare le protezioni del sistema operativo e gli antivirus sfrutta la tecnica nota come process hollowing. In questo caso viene iniettato il codice nello spazio degli indirizzi del processo cvtres.exe
presente in tutte le versioni di Windows.
AgentTesla è uno degli info-stealer più pericolosi in circolazione. Può rubare le password memorizzate nei browser e quelle di varie applicazioni, catturare screenshot, registrare i tasti premuti e intercettare il testo copiato negli appunti. Gli utenti devono installare una soluzione di sicurezza per bloccare questo tipo di minaccia.