Las entidades gubernamentales en Asia-Pacífico y América del Norte están siendo atacadas por un actor de amenazas desconocido con un descargador de malware disponible en el mercado conocido como PureCrypter para ofrecer una variedad de ladrones de información y ransomware.
«La campaña PureCrypter utiliza el dominio de una organización sin fines de lucro comprometida como comando y control (C2) para entregar una carga útil secundaria», dijo Abhay Yadav, investigador de Menlo Security. dicho.
Los diferentes tipos de malware que se propagan con PureCrypter incluyen RedLine Stealer, Agent Tesla, Eternity, Luna negra (también conocido como KRBanker), y Filadelfia Secuestro de datos.
Documentado por primera vez en junio de 2022, su autor anuncia la venta de PureCrypter por $ 59 por acceso de un mes (o $ 245 por una compra única de por vida) y es capaz de distribuir una multitud de malware.
En diciembre de 2022, PureCoder, el desarrollador detrás del programa, expandido la lista de ofertas incluye un registrador y un ladrón de información conocido como PureLogs, que está diseñado para desviar datos de navegadores web, billeteras criptográficas y clientes de correo electrónico. Cuesta $ 99 al año (o $ 199 por acceso de por vida).
La secuencia de infección detallada por Menlo Security comienza con un correo electrónico de phishing que contiene una URL de Discord que apunta al componente de la primera etapa, un archivo ZIP protegido con contraseña que, a su vez, carga el malware PureCrypter.
El cargador, por su parte, accede al sitio web de la entidad sin fines de lucro violada para obtener la carga útil secundaria, que es un registrador de teclas basado en .NET llamado agente tesla.
Luego, la puerta trasera establece una conexión con un servidor FTP ubicado en Pakistán para filtrar los datos recopilados, lo que indica que es posible que se hayan utilizado credenciales comprometidas para realizar la actividad.