Detecção do Carregador PureCrypter: Agora Atualizado para Impulsionar Atividades Maliciosas; Espalha Cavalos de Troia de Acesso Remoto e Ladrões de Informação
Índice:
Pesquisadores de cibersegurança observaram a atividade de uma versão mais avançada de um carregador de malware totalmente funcional chamado PureCrypter, que tem distribuído ativamente Trojans de Acesso Remoto (RATs) e ladrões de informações desde março de 2021. Exemplos notórios de malware entregues usando o PureCrypter incluem AsyncRAT, LokiBot, Remcos, Warzone RAT, NanoCore, Arkei Stealer, e RedLine Stealer. As características atualizadas do carregador de malware PureCrypter incluem novos módulos enriquecidos com técnicas adicionais anti-análise, criptografia avançada e ofuscação que permitem aos operadores de malware evadir a detecção.
Detectar o Carregador PureCrypter
Para detectar a atividade maliciosa associada ao carregador de malware PureCrypter e prevenir ataques contra sua infraestrutura, obtenha uma regra Sigma dedicada pelo nosso experiente desenvolvedor Threat Bounty Osman Demir. Participe do Programa Threat Bounty para elevar suas habilidades profissionais ao próximo nível escrevendo seu próprio conteúdo de detecção e recebendo reconhecimento da comunidade global de cibersegurança por sua contribuição.
Para acessar a regra Sigma dedicada, certifique-se de se inscrever ou entrar na plataforma da SOC Prime. Esta regra detecta a persistência do carregador PureCrypter alcançada adicionando entradas na chave de execução do registro:
Persistência Suspeita do Carregador PureCrypter pela Adição da Chave de Execução ao Registro (via registry_event)
A detecção suporta traduções para 19 formatos de SIEM, EDR & XDR e está mapeada para o MITRE ATT&CK® framework abordando a tática de Persistência com a técnica principal de Execução de Inicialização ou Logon Automático (T1547).
Usuários registrados da SOC Prime podem identificar prontamente as variantes de malware em sua infraestrutura e manter-se constantemente atualizados quanto a ameaças emergentes, aproveitando uma enorme biblioteca de regras de detecção e consultas de caça disponíveis na plataforma Detection as Code. Clique no botão Detectar & Caçar para explorar uma coleção completa de regras Sigma para detectar múltiplos RATs e defender-se proativamente contra malware relacionado. Deseja acompanhar as últimas tendências que moldam o atual cenário de ameaças cibernéticas e mergulhar em contextos relevantes de ameaças? Navegue pela SOC Prime para buscar ameaças principais instantaneamente, procurar por APTs específicos ou exploits, acessar as novas regras Sigma lançadas e explorar informação contextual relevante em um único lugar.
Detectar & Caçar Explore o Contexto da Ameaça
Descrição do PureCrypter: Insights Sobre uma Versão Avançada de Carregador de Malware
A recente pesquisa de cibersegurança da Zscaler forneceu insights sobre a evolução do carregador PureCrypter, que tem estado na arena de ameaças cibernéticas há mais de um ano distribuindo múltiplas variantes de malware, incluindo RATs e ladrões de informações. O carregador de malware está sendo ativamente vendido e promovido por seu desenvolvedor sob o pseudônimo “PureCoder”.
A cadeia de infecção contém dois estágios. No primeiro estágio, um downloader simples .NET PureCrypter lança um módulo de segundo estágio mais sofisticado, que serve como a carga útil principal e, além disso, injeta o malware final, como um RAT ou um ladrão de informações, como parte de outro processo, por exemplo, MSBuild.
O autor do carregador PureCrypter enriqueceu a nova variante de malware com a capacidade de enviar uma mensagem de status de infecção via Discord e Telegram. Outras características do PureCrypter dentro de uma versão atualizada de malware incluem persistência, injeção e mecanismos de defesa, juntamente com técnicas de criptografia e ofuscação mais sofisticadas para contornar a detecção. A capacidade avançada do injetor PureCrypter de ganhar persistência na inicialização e o uso do formato de Protocolo da Google torna mais difícil de detectar pelo software antivírus padrão.
Diante das capacidades em evolução do carregador de malware PureCrypter e do crescente escopo de seu impacto, profissionais de InfoSec estão buscando maneiras de reforçar seu potencial de defesa cibernética para estarem prontos para resistir à ameaça. Plataforma Detection as Code da SOC Prime fornece às organizações de diferentes níveis de maturidade em cibersegurança com capacidades de detecção e caça de ameaças à prova de futuro adaptadas às necessidades exclusivas de negócios e múltiplos ambientes de SIEM, EDR e XDR. Pesquisadores individuais de cibersegurança e caçadores de ameaças podem desbloquear oportunidades profundas para auto-avançar ao se juntar, enviar suas próprias regras Sigma e YARA, e monetizar seus esforços de detecção de ameaças. Programa Threat Bounty, submitting their own Sigma and YARA rules, and monetizing their threat detection efforts.
