Cyberthreat.id – Pelaku ancaman telah menargetkan entitas pemerintah dengan pengunduh malware PureCrypter yang mengirimkan banyak pencuri informasi dan jenis ransomware.

Dikutip dari Bleeping Computer, peneliti di Menlo Security menemukan bahwa pelaku ancaman menggunakan Discord untuk menghosting muatan awal dan mengkompromikan organisasi nirlaba untuk menyimpan host tambahan yang digunakan dalam kampanye.

“Kampanye tersebut ditemukan telah mengirimkan beberapa jenis malware termasuk Redline Stealer, AgentTesla, Eternity, Blackmoon, dan Philadelphia Ransomware,” kata para peneliti.

Menurut para peneliti, kampanye PureCrypter yang diamati menargetkan beberapa organisasi pemerintah di kawasan Asia-Pasifik (APAC) dan Amerika Utara. Serangan dimulai dengan email yang memiliki URL aplikasi Discord yang mengarah ke sampel PureCrypter di arsip ZIP yang dilindungi kata sandi.

PureCrypter adalah pengunduh malware berbasis .NET yang pertama kali terlihat di alam liar pada Maret 2021. Operatornya menyewakannya ke penjahat dunia maya lain untuk mendistribusikan berbagai jenis malware.Saat dijalankan, ini mengirimkan muatan tahap berikutnya dari server perintah dan kontrol, yang merupakan server yang disusupi dari organisasi nirlaba dalam kasus ini.

Sampel yang dianalisis oleh para peneliti di Menlo Security adalah AgentTesla. Saat diluncurkan, itu membuat koneksi ke server FTP berbasis Pakistan yang digunakan untuk menerima data yang dicuri. Para peneliti menemukan bahwa pelaku ancaman menggunakan kredensial yang bocor untuk mengendalikan server FTP tertentu daripada mengaturnya sendiri, untuk mengurangi risiko identifikasi dan meminimalkan jejaknya.

“AgentTesla adalah keluarga malware .NET yang telah digunakan oleh penjahat dunia maya selama delapan tahun terakhir. Penggunaannya memuncak pada akhir 2020 dan awal 2021,” kata peneliti.

Sebuah laporan baru-baru ini oleh Cofense menyoroti bahwa terlepas dari usianya, AgentTesla tetap menjadi pintu belakang yang hemat biaya dan berkemampuan tinggi yang telah menerima pengembangan dan peningkatan berkelanjutan selama bertahun-tahun.

Aktivitas keylogging AgentTesla menyumbang sekitar sepertiga dari semua laporan keylogger yang dicatat Cofense Intelligence pada tahun 2022. Kemampuan malware meliputi mencatat penekanan tombol korban untuk menangkap informasi sensitif seperti kata sandi, mencuri kata sandi yang disimpan di browser web, klien email, atau klien FTP, dan menangkap tangkapan layar desktop yang dapat mengungkapkan informasi rahasia.

“Mereka juga mencegat data yang disalin ke papan klip, termasuk teks, kata sandi, dan detail kartu kredit, dan mengeluarkan data yang dicuri ke C2 melalui FTP atau SMTP,” tambah peneliti

Dalam serangan yang diperiksa oleh Menlo Labs, ditemukan bahwa pelaku ancaman menggunakan proses lekukan untuk menyuntikkan muatan AgentTesla ke dalam proses yang sah (“cvtres.exe”) untuk menghindari deteksi dari alat antivirus. Selain itu, AgentTesla menggunakan enkripsi XOR untuk melindungi komunikasinya dengan server C2, seperti file konfigurasinya, dari alat pemantauan lalu lintas jaringan.

Menlo Security percaya bahwa aktor ancaman di balik kampanye PureCrypter bukanlah yang utama tetapi aktivitasnya layak dipantau karena menargetkan entitas pemerintah. Kemungkinan penyerang akan terus menggunakan infrastruktur yang telah disusupi selama mungkin sebelum dipaksa untuk mencari yang baru.