PureCrypter: attacchi con ransomware e info-stealer

Il team di ricercatori di Menlo Security segnala di aver individuato vari attacchi che sono stati intentati contro enti governativi sfruttando Discord per distribuire PureCrypter.

PureCrypter scarica sui computer delle vittime vari tipi di malware

Si tratta di un downloader scritto in .NET che scarica sui computer delle vittime vari tipi di malware, tra cui pure dei noti info-stealer e ransomware.

Andando più in dettaglio, la catena di infezione comincia con l’invio di un’email di phishing contenente il link a un archivio ZIP ospitato su Discord e all’interno del quale è nascosto PureCrypter. Quando eseguito scarica da un server remoto il secondo payload che è l’info-stealer AgentTesla, uno degli info-stealer più pericolosi in circolazione.

AgentTesla è infatti in grado di trafugare le password memorizzate nei browser e quelle di varie applicazioni, catturare screenshot, registrare i tasti premuti e intercettare il testo copiato negli appunti.

Da tenere presente che Il codice di AgentTesla è cifrato con l’algoritmo DES e che per aggirare le protezioni del sistema operativo e gli antivirus eventualmente installati su di esso sfrutta la tecnica del process hollowing, andando a iniettare il codice nello spazio degli indirizzi del processo cvtres.exe presente in tutte le versioni di Windows.

Per evitare di incappare in questa e in altre minacce informatiche è bene installare sul proprio computer un buon software antivirus, come nel caso di Norton 360 Premium che spesso viene proposto pure a prezzo scontato e che in genere malware, ransomware ecc. non sono in grado di aggirare.