Un acteur de la menace a ciblé des entités gouvernementales avec le téléchargeur de logiciels malveillants PureCrypter qui a été vu livrer plusieurs voleurs d’informations et souches de ransomwares.
Les chercheurs de Menlo Security ont découvert que l’acteur de la menace utilisait Discord pour héberger la charge utile initiale et a compromis une organisation à but non lucratif pour stocker des hôtes supplémentaires utilisés dans la campagne.
« La campagne s’est avérée avoir livré plusieurs types de logiciels malveillants, notamment Redline Stealer, AgentTesla, Eternity, Blackmoon et Philadelphia Ransomware », déclarent les chercheurs.
Selon les chercheurs, la campagne PureCrypter observée ciblait plusieurs organisations gouvernementales dans les régions Asie-Pacifique (APAC) et Amérique du Nord.
Chaîne d’attaque
L’attaque commence par un e-mail contenant une URL d’application Discord pointant vers un échantillon PureCrypter dans une archive ZIP protégée par mot de passe.
PureCrypter est un téléchargeur de logiciels malveillants basé sur .NET vu pour la première fois dans la nature en mars 2021. Son opérateur le loue à d’autres cybercriminels pour distribuer divers types de logiciels malveillants.
Une fois exécuté, il fournit la charge utile de l’étape suivante à partir d’un serveur de commande et de contrôle, qui est le serveur compromis d’une organisation à but non lucratif dans ce cas.
L’échantillon que les chercheurs de Menlo Security ont analysé était AgentTesla. Une fois lancé, il établit une connexion à un serveur FTP basé au Pakistan qui est utilisé pour recevoir les données volées.
Les chercheurs ont découvert que les acteurs de la menace utilisaient des informations d’identification divulguées pour prendre le contrôle du serveur FTP particulier plutôt que de le configurer, afin de réduire les risques d’identification et de minimiser leur trace.
AgentTesla toujours utilisé
AgentTesla est une famille de logiciels malveillants .NET utilisée par les cybercriminels depuis huit ans. Son utilisation culmine fin 2020 et début 2021.
Un rapport récent de Cofense souligne que malgré son âge, AgentTesla reste une porte dérobée rentable et très performante qui a fait l’objet d’un développement et d’une amélioration continus au fil des ans.
L’activité d’enregistrement de frappe d’AgentTesla représentait environ un tiers de tous les rapports d’enregistrement de frappe enregistrés par Cofense Intelligence en 2022.
Les capacités du logiciel malveillant incluent les éléments suivants :
- Enregistrez les frappes de la victime pour capturer des informations sensibles telles que les mots de passe.
- Volez les mots de passe enregistrés dans les navigateurs Web, les clients de messagerie ou les clients FTP.
- Capturez des captures d’écran du bureau qui pourraient révéler des informations confidentielles.
- Interceptez les données copiées dans le presse-papiers, y compris les textes, les mots de passe et les détails de la carte de crédit.
- Exfiltrez les données volées vers le C2 via FTP ou SMTP.
In the attacks examined by Menlo Labs, it was discovered that the threat actors used process hollowing to inject the AgentTesla payload into a legitimate process (“cvtres.exe”) to evade detection from antivirus tools.
Furthermore, AgentTesla uses XOR encryption to protect its communications with the C2 server, like its configuration files, from network traffic monitoring tools.
Menlo Security believes that the threat actor behind the PureCrypter campaign is not a major one but it is worth monitoring its activity due to targeting government entities.
It is likely that the attacker will keep using compromised infrastructure for as long as possible before being forced to find new one.