Los investigadores de seguridad cibernética han detallado el funcionamiento de un cargador de malware con todas las funciones denominado PureCrypter que están comprando los ciberdelincuentes para entregar troyanos de acceso remoto (RAT) y ladrones de información.
«El cargador es un ejecutable .NET ofuscado con SmartAssembly y hace uso de la compresión, el cifrado y la ofuscación para evadir los productos de software antivirus», Romain Dumont de Zscaler dijo en un nuevo informe.
Algunas de las familias de malware distribuidas mediante PureCrypter incluyen agente tesla, Arkei, AsyncRAT, AZORultRata de cristal oscuro (DCRat), LokiBot, nanonúcleoladrón de línea roja Remcos, Registrador de teclas de serpientey RATA de zona de guerra.
Vendido por un precio de $ 59 por su desarrollador llamado «PureCoder» por un plan de un mes (y $ 249 por una compra única de por vida) desde al menos marzo de 2021, PureCrypter se anuncia como el «único encriptador en el mercado que usa sin conexión y técnica de entrega en línea».
Los encriptadores actúan como primera capa de defensa contra la ingeniería inversa y se utilizan normalmente para empaquetar la carga útil maliciosa. PureCrypter también presenta lo que dice es un mecanismo avanzado para inyectar el malware incrustado en los procesos nativos y una variedad de opciones configurables para lograr la persistencia en el inicio y activar opciones adicionales para pasar desapercibido.
También se ofrece un generador de macros de Microsoft Office y un programa de descarga, que destaca las posibles rutas de infección iniciales que se pueden emplear para propagar el malware.
Curiosamente, aunque PureCoder destaca que el «software se creó solo con fines educativos», sus términos de servicio (ToS) prohíben a los compradores cargar la herramienta en bases de datos de escaneo de malware como VirusTotal, Jotti y MetaDefender.
«No se le permite escanear el archivo encriptado, ya que el encriptador en sí tiene un escáner incorporado», afirma además el ToS.
En una muestra analizada por Zscaler, se encontró que un archivo de imagen de disco (.IMG) contenía un descargador de primera etapa que, a su vez, recupera y ejecuta un módulo de segunda etapa desde un servidor remoto, que luego inyecta la carga final de malware dentro otros procesos como MSBuild.
PureCryter también ofrece una serie de características notables que le permiten eliminarse de la máquina comprometida e informar el estado de la infección al autor a través de Discord y Telegram.