Détection du Chargeur PureCrypter : Maintenant Amélioré pour Renforcer l’Activité Malveillante ; Diffuse des Trojans d’Accès à Distance et des Voleurs d’Informations
Table des matières :
Les chercheurs en cybersécurité ont observé l’activité d’une version plus avancée d’un chargeur de logiciels malveillants pleinement fonctionnel surnommé PureCrypter, qui distribue activement des chevaux de Troie d’accès à distance (RAT) et des voleurs d’informations depuis mars 2021. Les échantillons de logiciels malveillants notoires livrés à l’aide de PureCrypter incluent AsyncRAT, LokiBot, Remcos, Warzone RAT, NanoCore, Arkei Stealer, et RedLine Stealer. Les fonctionnalités mises à jour du chargeur de logiciels malveillants PureCrypter incluent de nouveaux modules enrichis avec des techniques anti-analyse supplémentaires, un chiffrement avancé, et une obfuscation permettant aux opérateurs de logiciels malveillants d’échapper à la détection.
Détecter le chargeur PureCrypter
Pour détecter l’activité malveillante associée au chargeur de logiciels malveillants PureCrypter et prévenir les attaques contre votre infrastructure, obtenez une règle Sigma dédiée par notre développeur expérimenté du programme Threat Bounty Osman Demir. Rejoignez le Programme Threat Bounty pour porter vos compétences professionnelles au niveau supérieur en écrivant votre propre contenu de détection et en recevant une reconnaissance de la communauté mondiale de la cybersécurité pour votre contribution.
Pour accéder à la règle Sigmadédiée, assurez-vous de vous inscrire ou de vous connecter à la plateforme de SOC Prime. Cette règle détecte la persistance du chargeur PureCrypter atteinte en ajoutant des entrées à la clé de démarrage du registre :
Persistance suspecte du chargeur PureCrypter par ajout de la clé Run au registre (via évènement_registre)
La détection prend en charge les traductions vers 19 formats SIEM, EDR & XDR et est mappée au cadre MITRE ATT&CK® abordant la tactique de Persistance avec Exécution automatique au démarrage ou à la connexion (T1547) comme technique principale.
Les utilisateurs enregistrés de SOC Prime peuvent identifier en temps opportun les souches de logiciels malveillants dans leur infrastructure et se tenir constamment informés des menaces émergentes en exploitant une immense bibliothèque de règles de détection et de requêtes de chasse disponibles dans la plateforme Detection as Code. Cliquez sur le bouton Detect & Hunt pour approfondir une collection complète de règles Sigma pour détecter de multiples RAT et se défendre de manière proactive contre les logiciels malveillants connexes. Vous efforcez-vous de suivre les dernières tendances qui façonnent le paysage actuel des menaces cybernétiques et de plonger dans le contexte des menaces pertinentes ? Parcourez SOC Prime pour rechercher instantanément les menaces principales, rechercher des APTs ou des exploits particuliers, accéder aux nouvelles règles Sigma publiées, et explorer des informations contextuelles pertinentes en un seul endroit.
bouton Detect & Hunt Explorez le contexte des menaces
Description de PureCrypter : Aperçus d’une version avancée de chargeur de logiciels malveillants
La récente recherche en cybersécurité de Zscaler a fourni un aperçu de l’évolution du chargeur PureCrypter, qui a été dans l’arène des menaces cybernétiques pendant plus d’un an en distribuant plusieurs souches de logiciels malveillants, y compris des RAT et des voleurs d’informations. Le chargeur de logiciels malveillants est activement vendu et promu par son développeur agissant sous le pseudonyme « PureCoder ».
La chaîne d’infection contient deux étapes. Dans la première étape, un téléchargeur .NET PureCrypter simple lance un module de deuxième étape plus sophistiqué, qui sert de charge utile principale et injecte ensuite le logiciel malveillant final, comme un RAT ou un voleur d’informations dans le cadre d’un autre processus, par exemple, MSBuild.
L’auteur du chargeur PureCrypter a enrichi la nouvelle variante de logiciel malveillant avec la capacité d’envoyer un message de statut d’infection via Discord et Telegram. D’autres fonctionnalités de PureCrypter dans une version de logiciel malveillant mise à niveau incluent la persistance, l’injection et les mécanismes de défense ainsi que des techniques de chiffrement et d’obfuscation plus sophistiquées pour contourner la détection. La capacité avancée de l’injecteur PureCrypter à obtenir la persistance au démarrage et à utiliser le format de Protocole de Google le rend plus difficile à détecter par les logiciels antivirus standards.
Compte tenu des capacités évolutives du chargeur de logiciels malveillants PureCrypter et de la portée croissante de son impact, les professionnels de l’InfoSec recherchent des moyens de renforcer leur potentiel de défense cybernétique pour être prêts à résister à la menace. La plateforme Detection as Code de SOC Prime fournit aux organisations de différents niveaux de maturité en cybersécurité des capacités de détection et de chasse aux menaces adaptées aux besoins uniques des entreprises et à de multiples environnements SIEM, EDR et XDR. Les chercheurs en cybersécurité individuels et chasseurs de menaces peuvent débloquer des opportunités profondes d’auto-avancement en rejoignant le Programme Threat Bounty, en soumettant leurs propres règles Sigma et YARA, et en monétisant leurs efforts de détection des menaces.
