Cybersecurity-Forscher haben die Funktionsweise eines voll funktionsfähigen Malware-Loaders namens PureCrypter beschrieben, der von Cyberkriminellen gekauft wird, um Remote-Access-Trojaner (RATs) und Informationsdiebstahl zu verbreiten.
„Der Loader ist eine ausführbare .NET-Datei, die mit SmartAssembly verschleiert wird und Komprimierung, Verschlüsselung und Verschleierung nutzt, um Antiviren-Softwareprodukte zu umgehen“, so Romain Dumont von Zscaler in einem neuen Bericht.
Zu den Malware-Familien, die mit PureCrypter verbreitet werden, gehören Agent Tesla, Arkei, AsyncRAT, AZORult, DarkCrystal RAT (DCRat), LokiBot, NanoCore, RedLine Stealer, Remcos, Snake Keylogger und Warzone RAT.
PureCrypter wird von seinem Entwickler namens „PureCoder“ seit mindestens März 2021 zum Preis von 59 US-Dollar für einen einmonatigen Plan (und 249 US-Dollar für einen einmaligen Kauf auf Lebenszeit) verkauft und als „einziger Crypter auf dem Markt, der Offline- und Online-Übertragungstechniken verwendet“, beworben.
Crypter dienen als erste Verteidigungsschicht gegen Reverse Engineering und werden in der Regel verwendet, um die schädliche Nutzlast zu verpacken. PureCrypter verfügt außerdem über einen fortschrittlichen Mechanismus, mit dem die eingebettete Malware in native Prozesse injiziert werden kann, sowie über eine Reihe konfigurierbarer Optionen, mit denen die Persistenz beim Start erreicht und zusätzliche Optionen aktiviert werden können, um unter dem Radar zu bleiben.
Außerdem werden ein Microsoft Office Makro-Builder und ein Downloader angeboten, die die potenziellen Infektionswege aufzeigen, über die sich die Malware verbreiten kann.
Interessanterweise weist PureCoder zwar darauf hin, dass die „Software nur für Bildungszwecke entwickelt wurde“, aber die Nutzungsbedingungen (Terms of Service, ToS) verbieten es den Käufern, das Tool in Malware-Scan-Datenbanken wie VirusTotal, Jotti und MetaDefender hochzuladen.
„Du darfst die verschlüsselte Datei nicht scannen, da der Crypter selbst einen eingebauten Scanner hat“, heißt es in den ToS weiter.
In einem von Zscaler analysierten Beispiel wurde festgestellt, dass eine Disk-Image-Datei (.IMG) einen Downloader der ersten Stufe enthält, der wiederum ein Modul der zweiten Stufe von einem entfernten Server abruft und ausführt, das dann die endgültige Malware-Nutzlast in andere Prozesse wie MSBuild injiziert.
PureCryter bietet außerdem eine Reihe bemerkenswerter Funktionen, die es ihm ermöglichen, sich selbst von dem befallenen Rechner zu entfernen und den Infektionsstatus über Discord und Telegram an den Autor zu melden.