Rilevamento del Loader PureCrypter: Ora Potenziato per Aumentare l’Attività Maligna; Diffonde Trojan di Accesso Remoto e Infostealers
Indice:
I ricercatori di cybersecurity hanno osservato l’attività di una versione più avanzata di un caricatore malware completamente funzionante chiamato PureCrypter che ha distribuito attivamente Trojan di accesso remoto (RATs) e ladri di informazioni da marzo 2021. Campioni di malware noti distribuiti usando PureCrypter includono AsyncRAT, LokiBot, Remcos, Warzone RAT, NanoCore, Arkei Stealer, e RedLine Stealer. Le caratteristiche aggiornate del caricatore malware PureCrypter includono nuovi moduli arricchiti con ulteriori tecniche anti-analisi, crittografia avanzata e offuscamento per consentire agli operatori di malware di eludere il rilevamento.
Rileva PureCrypter Loader
Per rilevare l’attività dannosa associata al caricatore malware PureCrypter e prevenire attacchi contro la tua infrastruttura, ottieni una regola Sigma dedicata dal nostro esperto sviluppatore di Threat Bounty Osman Demir. Entra nel Threat Bounty Program per portare le tue competenze professionali al livello successivo scrivendo il tuo contenuto di rilevamento e ricevendo riconoscimento dalla comunità globale di cybersecurity per il tuo contributo.
Per accedere alla regola Sigma dedicata, assicurati di iscriverti o accedere alla piattaforma di SOC Prime. Questa regola rileva la persistenza del caricatore PureCrypter raggiunta aggiungendo voci alla chiave di esecuzione del registro:
Persistenza Sospetta di PureCrypter Loader aggiungendo la Chiave di Esecuzione al Registro (via registry_event)
Il rilevamento supporta le traduzioni in 19 formati SIEM, EDR & XDR ed è mappato al framework MITRE ATT&CK® affrontando la tattica di Persistenza con Boot o Logon Autostart Execution (T1547) come tecnica principale.
Gli utenti registrati di SOC Prime possono identificare tempestivamente le varianti di malware nella loro infrastruttura e tenersi costantemente aggiornati sulle minacce emergenti sfruttando un’enorme libreria di regole di rilevamento curate e query di caccia disponibili nella piattaforma Detection as Code. Fare clic sul pulsante Detect & Hunt per approfondire una collezione completa di regole Sigma per rilevare più RAT e difendersi proattivamente contro il malware correlato. Cercando di stare al passo con le ultime tendenze che modellano il panorama attuale delle minacce informatiche e immergersi nel contesto delle minacce rilevanti? Esplora SOC Prime per cercare istantaneamente le principali minacce, cercare APT particolari o exploit, raggiungere le nuove regole Sigma rilasciate ed esplorare informazioni contestuali rilevanti in un unico posto.
pulsante Detect & Hunt Esplora il Contesto delle Minacce
Descrizione di PureCrypter: Approfondimenti su Una Versione Avanzata di Malware Loader
La recente ricerca di cybersecurity di Zscaler ha fornito approfondimenti sull’evoluzione del caricatore PureCrypter, che è stato nell’arena delle minacce informatiche per oltre un anno distribuendo varie varianti di malware, inclusi RAT e infostealers. Il caricatore malware è attivamente venduto e promosso dal suo sviluppatore sotto il nome di “PureCoder”.
La catena di infezione contiene due fasi. Nella prima fase, un semplice downloader .NET PureCrypter lancia un modulo di seconda fase più sofisticato, che funge da carico principale e inietta ulteriormente il malware finale, come un RAT o un infostealer, come parte di un altro processo, per esempio, MSBuild.
L’autore del caricatore PureCrypter ha arricchito la nuova variante di malware con la capacità di inviare un messaggio di stato di infezione tramite Discord e Telegram. Altre caratteristiche di PureCrypter nella versione aggiornata del malware includono persistenza, iniezione e meccanismi di difesa insieme a tecniche di crittografia e offuscamento più sofisticate per aggirare il rilevamento. La capacità avanzata dell’iniettore PureCrypter di ottenere persistenza all’avvio e l’uso del formato Protocol di Google lo rendono più difficile da rilevare da software antivirus standard.
In vista delle capacità in evoluzione del caricatore malware PureCrypter e della crescente portata del suo impatto, i professionisti di InfoSec stanno cercando modi per rafforzare il loro potenziale di difesa informatica per essere pronti a resistere alla minaccia. La piattaforma Detection as Code di SOC Prime fornisce alle organizzazioni diversi livelli di maturità nella cybersecurity con capacità di rilevamento e caccia alle minacce a prova di futuro, su misura per esigenze aziendali uniche e multipli ambienti SIEM, EDR e XDR. I ricercatori di cybersecurity individuali e i cacciatori di minacce possono sbloccare profonde opportunità di auto-sviluppo unendosi Threat Bounty Program, inviando le proprie regole Sigma e YARA, e monetizzando i loro sforzi di rilevamento delle minacce.
