Detección de PureCrypter Loader: Ahora Mejorada para Potenciar la Actividad Maliciosa; Distribuye Troyanos de Acceso Remoto y Robadores de Información
Tabla de contenidos:
Los investigadores en ciberseguridad han observado la actividad de una versión más avanzada de un cargador de malware completamente funcional llamado PureCrypter, que ha estado distribuyendo activamente troyanos de acceso remoto (RATs) y ladrones de información desde marzo de 2021. Muestras de malware notorias entregadas usando PureCrypter incluyen AsyncRAT, LokiBot, Remcos, Warzone RAT, NanoCore, Arkei Stealer, y RedLine Stealer. Las características actualizadas del cargador de malware PureCrypter incluyen nuevos módulos enriquecidos con técnicas avanzadas de anti-análisis, cifrado avanzado y ofuscación, permitiendo a los operadores de malware evadir la detección.
Detectar Cargador PureCrypter
Para detectar la actividad maliciosa asociada con el cargador de malware PureCrypter y prevenir ataques contra su infraestructura, obtenga una regla Sigma dedicada por nuestro desarrollador experimentado de Threat Bounty Osman Demir. Únase al Programa Threat Bounty para llevar sus habilidades profesionales al siguiente nivel escribiendo su propio contenido de detección y recibiendo reconocimiento de la comunidad global de ciberseguridad por su contribución.
Para acceder a la regla Sigmadedicada, asegúrese de registrarse o iniciar sesión en la plataforma de SOC Prime. Esta regla detecta la persistencia del cargador PureCrypter alcanzada al agregar entradas a la clave run del registro:
Persistencia Sospechosa del Cargador PureCrypter al Agregar de Clave Run al Registro (vía registry_event)
La detección admite traducciones a 19 formatos de SIEM, EDR y XDR y está mapeada al marco MITRE ATT&CK® que aborda la táctica de Persistencia con la Ejecución Autostart de Inicio o Inicio de Sesión (T1547) como técnica principal.
Los usuarios registrados de SOC Prime pueden identificar oportunamente las cepas de malware en su infraestructura y mantenerse constantemente al tanto de las amenazas emergentes aprovechando una inmensa biblioteca de reglas de detección curadas y consultas de caza disponibles en la plataforma Detection as Code. Haga clic en el botón Detectar y Cazar para profundizar en una colección completa de reglas Sigma para detectar múltiples RATs y defender proactivamente contra el malware relacionado. ¿Se esfuerza por mantenerse al día con las últimas tendencias que moldean el panorama actual de amenazas cibernéticas y profundizar en el contexto relevante de amenazas? Explore SOC Prime para buscar instantáneamente las principales amenazas, buscar APTs o exploits particulares, acceder a las reglas Sigma recién lanzadas y explorar información contextual relevante en un solo lugar.
botón Detectar y Cazar Explorar Contexto de Amenazas
Descripción de PureCrypter: Perspectivas Sobre Una Versión Avanzada de Cargador de Malware
La reciente investigación de ciberseguridad de Zscaler ha proporcionado perspectivas sobre la evolución del cargador PureCrypter, que ha estado en la arena de amenazas cibernéticas durante más de un año distribuyendo múltiples cepas de malware, incluidos RATs y ladrones de información. El cargador de malware está siendo activamente vendido y promovido por su desarrollador que actúa bajo el seudónimo “PureCoder”.
La cadena de infección contiene dos etapas. En la primera etapa, un sencillo descargador .NET PureCrypter lanza un módulo de segunda etapa más sofisticado, que sirve como la carga útil principal y luego inyecta el malware final, como un RAT o un ladrón de información, como parte de otro proceso, por ejemplo, MSBuild.
El autor del cargador PureCrypter ha enriquecido la nueva variante de malware con la capacidad de enviar un mensaje de estado de infección a través de Discord y Telegram. Otras características de PureCrypter dentro de una versión de malware mejorada incluyen persistencia, inyección y mecanismos de defensa junto con técnicas de cifrado y ofuscación más sofisticadas para eludir la detección. La capacidad avanzada del inyector PureCrypter para ganar persistencia al inicio y el uso del formato de Protocolo de Google lo hace más difícil de detectar por el software antivirus estándar.
En vista de las capacidades en evolución del cargador de malware PureCrypter y el creciente alcance de su impacto, los profesionales de la InfoSec están buscando formas de reforzar su potencial de defensa cibernética para estar preparados para resistir la amenaza. La plataforma Detection as Code de SOC Prime proporciona a las organizaciones con diferentes niveles de madurez de ciberseguridad capacidades de detección de amenazas y caza a prueba de futuro adaptadas a las necesidades comerciales únicas y múltiples entornos de SIEM, EDR y XDR. Los investigadores de ciberseguridad individuales y cazadores de amenazas pueden desbloquear oportunidades profundas para el auto-avance al unirse a Programa Threat Bounty, enviando sus propias reglas Sigma y YARA, y monetizando sus esfuerzos de detección de amenazas.
