Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

На хакерских форумах продается «умный» загрузчик вредоносного ПО PureCrypter

16/06/22

hack134-1

Специалисты ИБ-компании Zscaler опубликовали подробности о полнофункциональном загрузчике вредоносного ПО PureCrypter, использующемся киберпреступниками для доставки на атакуемые системы троянов для удаленного доступа (RAT) и инфостилеров.

Загрузчик представляет собой исполняемый файл на .NET, обфусцированный с помощью SmartAssembly для обхода обнаружения антивирусными решениями, поясняет Securitylab.

Киберпреступники используют PureCrypter для загрузки Agent Tesla, Arkei, AsyncRAT, AZORult, DarkCrystal RAT (DCRat), LokiBot, NanoCore, RedLine Stealer, Remcos, Snake Keylogger и Warzone RAT.

Вредонос, создателем которого является некто PureCoder, можно арендовать на хакерских форумах по цене $59 в месяц. Кроме того, его можно купить полностью за $249. С марта 2021 года PureCrypter рекламируется создателем как «единственный криптор на рынке, использующий техники доставки как offline, так и online».

Крипторы выполняют функцию первого слоя защиты от реверс-инжиниринга и обычно используются для упаковки вредоносного ПО. PureCrypter также оснащен механизмом для внедрения встроенного вредоносного ПО в родные процессы, а также различными опциями конфигурации для обеспечения постоянства на атакуемой системе и обхода обнаружения.

Автор вредоноса не поленился отметить, что PureCrypter «создан исключительно в образовательных целях», однако его пользовательское соглашение запрещает покупателям загружать инструмент в VirusTotal, Jotti и MetaDefender.

Проанализировав один из образцов PureCrypter, специалисты Zscaler обнаружили, что файл образа диска (.IMG) содержал загрузчик первого этапа, который в свою очередь извлекал с удаленного сервера и запускал модуль второго этапа, внедрявшего финальную полезную нагрузку в процессы наподобие MSBuild.

PureCryter также оснащен функцией самоудаления со взломанной машины и функцией оповещения о статусе заражения через Discord и Telegram.

Темы:УгрозытрояныZscalerвирусы на продажу
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...