Asya-Pasifik ve Kuzey Amerika’daki devlet kurumları, bilinmeyen bir tehdit aktörü tarafından, kullanıma hazır bir kötü amaçlı yazılım indirici ile hedefleniyor. PureCrypter bir dizi bilgi hırsızı ve fidye yazılımı sunmak için.
Menlo Güvenlik araştırmacısı Abhay Yadav, “PureCrypter kampanyası, tehlikeye atılmış kar amacı gütmeyen bir kuruluşun etki alanını ikincil bir yük sağlamak için bir komuta ve kontrol (C2) olarak kullanıyor.” söz konusu.
PureCrypter kullanılarak yayılan farklı kötü amaçlı yazılım türleri arasında RedLine Stealer, Agent Tesla, Eternity, Siyah ay (diğer adıyla KRBanker), Ve Philadelphia fidye yazılımı.
İlk olarak Haziran 2022’de belgelenen PureCrypter, yazarı tarafından bir aylık erişim için 59 ABD dolarına (veya ömür boyu bir kereye mahsus satın alma için 245 ABD dolarına) satılmak üzere ilan edildi ve çok sayıda kötü amaçlı yazılım dağıtma yeteneğine sahip.
Aralık 2022’de, programın arkasındaki geliştirici PureCoder – genişletilmiş web tarayıcılarından, kripto cüzdanlarından ve e-posta istemcilerinden verileri çekmek için tasarlanmış PureLogs olarak bilinen bir kaydedici ve bilgi hırsızını içeren teklif listesi. Yılda 99 ABD Doları (veya ömür boyu erişim için 199 ABD Doları) tutarındadır.
Menlo Security tarafından ayrıntılı olarak açıklanan bulaşma dizisi, sırayla PureCrypter kötü amaçlı yazılımını yükleyen parola korumalı bir ZIP arşivi olan birinci aşama bileşene işaret eden bir Discord URL’si içeren bir kimlik avı e-postasıyla başlar.
Yükleyici ise, adı .NET tabanlı bir keylogger olan ikincil yükü almak için ihlal edilen kar amacı gütmeyen kuruluşun web sitesine ulaşır. Ajan Tesla.
Ardından arka kapı, toplanan verileri dışarı sızdırmak için Pakistan’da bulunan bir FTP sunucusuyla bağlantı kurar ve bu da etkinliği gerçekleştirmek için güvenliği ihlal edilmiş kimlik bilgilerinin kullanılmış olabileceğini gösterir.