PureCrypter il downloader di malware
I ricercatori di Menlo Security hanno segnalato diversi attacchi effettuati contro enti governativi delle regioni Asia-Pacifico (APAC) e Nord America, sfruttando PureCrypter, un downloader scritto in .NET che scarica sui computer delle vittime vari tipi di malware, tra cui noti info-stealer e ransomware come Redline Stealer, AgentTesla, Eternity, Blackmoon e Philadelphia Ransomware. Queste minacce vengono fortunatamente rilevate e bloccate dalle principali soluzioni di sicurezza.Diffusione
Il tutto inizia da un'email (metodo di diffusione seppur molto conosciuto sempre molto valido) di phishing che contiene il link ad un archivio ZIP ospitato su Discord. Al suo interno è nascosto il loader PureCrypt, il quale una volta aperto scarica a sua volta il loader AgentTesla, info-stealer piuttosto conosciuto e utilizzato negli ultimi anni. Il malware apre un collegamento FTP con un server in Pakistan, rubato anche quest'ultimo, al quale sono inviati i dati rubati dal computer.
AgentTesla come funziona
AgentTesla software basato su .NET fa parte di una famiglia di malware chiamata "info-stealer", software malevoli che rubano informazioni inviandole al mittente:
- Registra tutto ciò che viene digitato dalla vittima per catturare informazioni sensibili come le password.
- Ruba le password salvate nei browser web, nei client di posta elettronica o nei client FTP.
- Cattura screenshot del desktop che potrebbero rivelare informazioni riservate.
- Intercetta i dati copiati negli appunti, inclusi testi, password e dettagli della carta di credito.
- Invia i dati rubati tramite FTP o SMTP.
cvtres.exe presente in tutte le versioni di Windows.Anche il nostro paese è stato vittima di AgentTesla, più precisamente nel 2020 dove numerose aziende sono state vittima di questo malware. Tramite un email di phishing che utilizzava DHL come nome di copertura, infatti le email phishing arrivavano da
[email protected].