远程访问木马及信息窃取恶意软件的传播方式

关键要点

• 多种远程访问木马和信息窃取恶意软件通过 PureCrypter 加载器传播。
• PureCrypter 于 2021 年 3 月上市，采用在线和离线交付方式。
• 该加载器采用.NET可执行文件，并通过压缩、加密和混淆技术躲避杀毒软件。

根据的报道，大量的远程访问木马和信息窃取恶意软件，包括
Agent Tesla、、LokiBot、RedLineStealer、DarkCrystal RAT、Arkei、NanoCore、Remcos、Warzone RAT 和 SnakeKeylogger，都是通过 PureCrypter 恶意软件加载器进行传播的。

开发者 PureCoder 自 2021 年 3 月起出售
PureCrypter，将其宣传为市场上唯一一种同时采用在线和离线交付方式的恶意软件加载器。Zscaler 的报告显示，”这个加载器是一个 .NET可执行文件，经过 SmartAssembly 混淆，使用了压缩、加密和混淆技术以绕过杀毒软件产品。” 研究人员 Romain Dumont进一步指出，除了提供 Microsoft Office 宏构建器和下载功能外，PureCrypter还具备在本地进程中注入恶意软件的能力。研究人员还发现了自我删除和感染状态报告的功能。然而，该报告也显示，PureCrypter 加载器已被禁止上传至
VirusTotal、MetaDefender、Jotti 等恶意软件扫描数据库。

恶意软件类型 | 说明
—|—
远程访问木马 | 允许攻击者远程控制受感染设备
信息窃取恶意软件 | 搜集用户的敏感信息或数据
PureCrypter 加载器 | 用于传播各种恶意软件的工具

通过了解这些恶意软件的传播方式和特性，用户和企业能更加有效地防范网络安全威胁。请确保及时更新杀毒软件，并定期检查系统安全性，以降低受到攻击的风险。