Discussione Articolo PureCrypter il downloader di malware

Stato
Discussione chiusa ad ulteriori risposte.

DjCanigia

Moderatore
20 Agosto 2012
2,872
197
2,157
1,509
vista-laterale-del-criminale-informatico-pericoloso-con-maschera-bianca-virus-pericoloso.jpg

PureCrypter il downloader di malware
I ricercatori di Menlo Security hanno segnalato diversi attacchi effettuati contro enti governativi delle regioni Asia-Pacifico (APAC) e Nord America, sfruttando PureCrypter, un downloader scritto in .NET che scarica sui computer delle vittime vari tipi di malware, tra cui noti info-stealer e ransomware come Redline Stealer, AgentTesla, Eternity, Blackmoon e Philadelphia Ransomware. Queste minacce vengono fortunatamente rilevate e bloccate dalle principali soluzioni di sicurezza.


chain.png


Diffusione
Il tutto inizia da un'email (metodo di diffusione seppur molto conosciuto sempre molto valido) di phishing che contiene il link ad un archivio ZIP ospitato su Discord. Al suo interno è nascosto il loader PureCrypt, il quale una volta aperto scarica a sua volta il loader AgentTesla, info-stealer piuttosto conosciuto e utilizzato negli ultimi anni. Il malware apre un collegamento FTP con un server in Pakistan, rubato anche quest'ultimo, al quale sono inviati i dati rubati dal computer.















images2861291093078246172296660..jpg


AgentTesla come funziona
AgentTesla
software basato su .NET fa parte di una famiglia di malware chiamata "info-stealer", software malevoli che rubano informazioni inviandole al mittente:
  • Registra tutto ciò che viene digitato dalla vittima per catturare informazioni sensibili come le password.
  • Ruba le password salvate nei browser web, nei client di posta elettronica o nei client FTP.
  • Cattura screenshot del desktop che potrebbero rivelare informazioni riservate.
  • Intercetta i dati copiati negli appunti, inclusi testi, password e dettagli della carta di credito.
  • Invia i dati rubati tramite FTP o SMTP.
Per aggirare gli antivirus e le protezioni di Windows, sfrutta una tecnica chiamata "process hollowing", svuota un processo legittimo del suo codice (hollow) ed in seguito riempie l’area svuotata del codice malvolo. In questo caso il processo colpito è cvtres.exe presente in tutte le versioni di Windows.








Anche il nostro paese è stato vittima di AgentTesla, più precisamente nel 2020 dove numerose aziende sono state vittima di questo malware. Tramite un email di phishing che utilizzava DHL come nome di copertura, infatti le email phishing arrivavano da [email protected].
 
Stato
Discussione chiusa ad ulteriori risposte.