PureCrypter Loader-Erkennung: Jetzt verbessert, um bösartige Aktivitäten zu fördern; Verbreitet Remote-Access-Trojaner und Infostealer
Inhaltsverzeichnis:
Cybersicherheitsforscher haben die Aktivitäten einer fortschrittlicheren Version eines voll funktionsfähigen Malware-Loaders namens PureCrypter beobachtet, der seit März 2021 aktiv Remote-Access-Trojaner (RATs) und Informationsdiebe verbreitet. Berüchtigte Malware-Beispiele, die mit PureCrypter geliefert werden, sind AsyncRAT, LokiBot, Remcos, Warzone RAT, NanoCore, Arkei Stealer, und RedLine Stealer. Die aktualisierten Funktionen des PureCrypter-Malware-Loaders umfassen neue Module, die mit zusätzlichen Anti-Analysetechniken, fortschrittlicher Verschlüsselung und Verschleierung angereichert sind und es Malware-Betreibern ermöglichen, der Erkennung zu entgehen.
PureCrypter Loader erkennen
Um die bösartigen Aktivitäten im Zusammenhang mit dem PureCrypter-Malware-Loader zu erkennen und Angriffe auf Ihre Infrastruktur zu verhindern, verwenden Sie eine speziell entwickelte Sigma-Regel unseres erfahrenen Threat-Bounty-Entwicklers Osman Demir. Treten Sie dem Threat-Bounty-Programm bei, um Ihre professionellen Fähigkeiten auf das nächste Level zu bringen, indem Sie Ihre eigenen Erkennungsinhalte schreiben und Anerkennung von der globalen Cybersicherheitsgemeinschaft für Ihren Beitrag erhalten.
Um auf die spezielle Sigma-Regelzuzugreifen, melden Sie sich bei der SOC-Prime-Plattform an oder loggen Sie sich ein. Diese Regel erkennt die Persistenz des PureCrypter-Loaders, die durch das Hinzufügen von Einträgen zum Registry-Run-Schlüssel erreicht wird:
Verdächtige PureCrypter-Loader-Persistenz durch Hinzufügen eines Run-Schlüssels zur Registry (via registry_event)
Die Erkennung unterstützt Übersetzungen in 19 SIEM-, EDR- & XDR-Formate und ist dem MITRE ATT&CK® Framework zugeordnet, das die Persistenz-Taktik mit Boot- oder Logon-Autostart-Ausführung (T1547) als Haupttechnik adressiert.
Registrierte SOC-Prime-Nutzer können die Malware-Stämme in ihrer Infrastruktur rechtzeitig identifizieren und sich ständig über auftretende Bedrohungen informieren, indem sie eine umfangreiche Bibliothek kuratierter Erkennungsregeln und Jagdabfragen verwenden, die in der Detection as Code-Plattform verfügbar sind. Klicken Sie auf die Detect & Hunt Taste, um zu einer vollständigen Sammlung von Sigma-Regeln zu gelangen, um mehrere RATs zu erkennen und proaktiv gegen verwandte Malware zu verteidigen. Möchten Sie mit den neuesten Trends Schritt halten, die die aktuelle Cyberbedrohungslandschaft prägen und in relevante Bedrohungskontexte eintauchen? Durchstöbern Sie SOC Prime, um sofort nach Top-Bedrohungen zu suchen, nach bestimmten APTs oder Exploits Ausschau zu halten, die neu eingeführten Sigma-Regeln zu erreichen und relevante Kontextinformationen an einem einzigen Ort zu erkunden.
Detect & Hunt Bedrohungskontext erkunden
PureCrypter Beschreibung: Einblicke in eine erweiterte Version des Malware-Loaders
Die jüngste Zscaler-Cybersicherheitsforschung hat Einblicke in die Entwicklung des PureCrypter-Loaders geliefert, der seit über einem Jahr in der Cyber-Bedrohungsarena aktiv ist und mehrere Malware-Stämme, einschließlich RATs und Informationsdiebe, verbreitet. Der Malware-Loader wird aktiv verkauft und von seinem Entwickler, der unter dem Pseudonym „PureCoder“ agiert, gefördert.
Die Infektionskette enthält zwei Stufen. In der ersten Stufe startet ein einfacher .NET PureCrypter-Downloader ein anspruchsvolleres Modul der zweiten Stufe, das als Hauptnutzlast dient und die endgültige Malware, wie einen RAT oder einen Informationsdieb, als Teil eines anderen Prozesses, zum Beispiel MSBuild, weiter injiziert.
Der Autor des PureCrypter-Loaders hat die neue Malware-Variante mit der Fähigkeit bereichert, eine Infektionsstatusnachricht über Discord und Telegram zu senden. Weitere PureCrypter-Features in einer aktualisierten Malware-Version umfassen Persistenz, Injektion und Abwehrmechanismen sowie ausgefeiltere Verschlüsselungs- und Verschleierungstechniken, um der Erkennung zu entgehen. Die erweiterte Fähigkeit des PureCrypter-Injektors, Persistenz beim Start zu erreichen und die Verwendung von Googles Protokollformat machen es schwieriger, von Standard-Antivirus-Software erkannt zu werden.
Angesichts der sich entwickelnden Fähigkeiten des PureCrypter-Malware-Loaders und des zunehmenden Umfangs seiner Auswirkungen suchen InfoSec-Profis nach Möglichkeiten, ihr Cyber-Abwehrpotenzial zu verstärken, um bereit zu sein, der Bedrohung standzuhalten. SOC Primes Detection as Code-Plattform bietet Organisationen mit unterschiedlichen Niveaus an Cybersicherheitsreife zukunftssichere Bedrohungserkennungs- und Jagdfähigkeiten, die auf einzigartige Geschäftsbedürfnisse und mehrere SIEM-, EDR- und XDR-Umgebungen zugeschnitten sind. Einzelne Cybersicherheitsforscher und Bedrohungsjäger können tiefgreifende Möglichkeiten zur persönlichen Weiterentwicklung freischalten, indem sie Threat-Bounty-Programmbeitreten, ihre eigenen Sigma- und YARA-Regeln einreichen und ihre Bedrohungserkennungsbemühungen monetarisieren.
