PureCrypter マルウエア・ローダー:$59/月で MS Office 初期感染キットも提供

Researchers Detail PureCrypter Loader Cyber Criminals Using to Distribute Malware

2022/06/14 TheHackerNews — サイバー・セキュリティ研究者たちは、PureCrypter と呼ばれるマルウェア・ローダーの、完成度の高い機能と仕組みについて詳細を説明している。このローダーは、サイバー犯罪者たちにより購入され、RAT (remote access trojans (RATs) や、情報スティーラーを配信するために使用されている。Zscaler の Roman Dumont は最新レポートで、「このローダーは、SmartAssembly で難読化された .NET 実行ファイルであり、圧縮/暗号化/難読化を利用してアンチウイルス・ソフトウェア製品による検出を回避する」と述べている。

この PureCrypter を介して配布されるマルウェア・ファミリーには、Agent Tesla/Arkei/AsyncRAT/AZORult/DarkCrystal RAT (DCRat)/LokiBot/NanoCore/RedLine Stealer/Rems/Snake Keylogger/Warzone RAT などがある。

PureCrypter は、2021年3月以降に PureCoder という開発者が、$59/月 (生涯一括購入で $249) という価格で販売しており、「オフラインとオンラインの配信技術を用いた市場で唯一のクリプター」として宣伝されている。

クリプターとは、一般的にリバース・エンジニアリングに対する防御の第一層として機能し、悪意のペイロードをパックするために使用される。それに加えて PureCrypter は、組み込みマルウェアをネイティブ・プロセスに注入する高度なメカニズムや、スタートアップ時ににおける永続性の実現、レーダーを回避するための追加機能といった、さまざまな設定可能なオプションを備えているという。また、Microsoft Office 対応のマクロビルダー/ダウンローダーも提供しており、マルウェアを伝播させるために採用されると思われる、初期感染経路の充実が強調されている。

興味深いことに、PureCoder は、「このソフトウェアは教育目的でのみ作成された」と強調しているが、その利用規約 (ToS:terms of service) では、VirusTotal/Jotti/MetaDefender などのマルウェア・スキャン・データベースへ向けた、このツールの購入者によるアップロードが禁じられている。さらに ToS には、「暗号化されたファイルをスキャンすることは許可されない」とも記されている。

Zscaler が分析したサンプルでは、ディスク・イメージ・ファイル (.IMG) に第1段階のダウンローダーが含まれており、このダウンローダーがリモートサーバーから第2段階のモジュールを取得/実行し、その後に、MSBuild などのプロセス内に最終的なマルウェア・ペイロードを注入していることが確認されている。

また、PureCryter は、感染したマシンから自身を削除し、Discord や Telegram を介して作者に感染状況を報告させるという、注目すべき多様な機能を提供している。

サイバー攻撃における分業やシンジケート化が進んでいます。最近の記事としては、
5月19日の「Conti ランサムウェアの解体と分散化:リブランドの状況と背景を探ってみた」や、6月2日の「RaaS ギャングとアクセス・ブにローカーの緊密な関係:深化するエコシステムを追跡」が、そのあたりのことを詳しく述べています。そこに、新たな PureCrypter マルウエア・ローダーが加わり、Microsoft Office 対応のマクロビルダー/ダウンローダーも提供されているようです。

%d bloggers like this: