{
	"id": "dc1dea7f-d213-4620-92ec-8ecbd0c4fc14",
	"created_at": "2026-04-06T00:16:01.24752Z",
	"updated_at": "2026-04-10T03:20:45.397304Z",
	"deleted_at": null,
	"sha1_hash": "59f5dd966d8b138d3c552fcbc2d3e32c090ec8f2",
	"title": "PureCrypter Loader持续活跃，已经传播了10多个其它家族",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 3199014,
	"plain_text": "PureCrypter Loader持续活跃，已经传播了10多个其它家族\r\nBy wanghao\r\nPublished: 2022-08-29 · Archived: 2026-04-05 21:12:30 UTC\r\n在我们的日常botnet分析工作中，碰到各种loader是常事。跟其它种类的malware相比，loader的特殊之处\r\n在于它主要用来“推广”，即在被感染机器上下载并运行其它的恶意软件。根据我们的观察，大部分loader\r\n是专有的，它们和推广的家族之间存在绑定关系。而少数loader家族会将自己做成通用的推广平台，可以\r\n传播其它任意家族，实现所谓的malware-as-a-service（MaaS）。跟专有loader相比，MaaS类型显然更危\r\n险，更应该成为我们的首要关注目标。\r\n本文介绍我们前段时间看到的一个MaaS类型的loader，它名为PureCrypter，今年非常活跃，先后推广了10\r\n多个其它的家族，使用了上百个C2。因为zscaler已经做过详细的样本分析，本文主要从C2和传播链条角\r\n度介绍我们看到的PureCrypter传播活动，分析其运作过程。\r\n本文要点如下：\r\nPureCrypter是一款使用C#编写的loader，至少2021年3月便已出现，能传播任意的其它家族。\r\nPureCrypter今年持续活跃，已经传播了包括Formbook、SnakeKeylogger、AgentTesla、Redline、\r\nAsyncRAT等在内的10多个恶意家族。\r\nPureCrypter作者拥有较多的推广资源，我们检测到的C2 域名和IP多达上百个。\r\nPureCrypter作者喜欢使用图片名后缀结合倒置、压缩和加密等方式躲避网络检测。\r\nPureCrypter的推广行为传播链条普遍较长，多数会使用前置protector，甚至搭配其它loader，检测难\r\n度较大。\r\n总的来说，PureCrypter的传播情况可以用下图总结：\r\nhttps://blog.netlab.360.com/purecrypter\r\nPage 1 of 16\n\n下面从样本分析和典型传播案例角度做一介绍。\r\n样本分析\r\nPureCrypter使用了package机制，由两个可执行文件组成：downloader和injector，它们都使用C#编写，其\r\n中downloader负责传播injector，后者释放并运行最终的目标家族二进制文件。实际操作时，攻击者通过\r\nbuilder生成downloader和injector，然后先设法传播downloader，后者会在目标机器上下载并执行injector，\r\n再由injector完成其余工作。从代码逻辑上看，downloader模块相对简单，样本混淆程度较低，没有复杂的\r\n环境检测和持久化等操作，而injector则使用了loader里常见的奇技淫巧，比如2进制混淆、运行环境检\r\n测、启动傀儡进程等，下面是结合实际的例子简单介绍下downloader和injector。\r\ndownloader模块\r\n该模块直接调用WebClient的DownLoadData方法进行HTTP下载，没有设置单独的HTTP header。\r\ninjector的uri通常也是明文保存，下面是一个下载经过倒置处理的样本的变种的例子，从解析代码能看出\r\n来HTTP payload做了倒置处理。\r\n在末尾可发现明显的被倒置的PE Header。\r\nhttps://blog.netlab.360.com/purecrypter\r\nPage 2 of 16\n\n最后通过Assembly.Load加载恢复好的injector（.DLL文件），调用明文编码的入口方法，进入下一阶段。\r\nPureCrypter对injector下载保护这块相对简单，目前看除了上面提到的倒置（reverse）编码外，还有 gzip压\r\n缩、对称加密等方式，这种编码是固定的，即builder在生成downloader和injector时就已经确定好编码方\r\n式，不存在运行动态改变的情况。\r\n下面是使用使用gzip压缩后传输injector的例子，在流量开头可以发现GZip的magic header： 1F 8B 08\r\n00 。\r\n我们还碰到过使用AES加密的例子。\r\n除了AES，PureCrypter还支持使用DES、RC4等加密算法。\r\nhttps://blog.netlab.360.com/purecrypter\r\nPage 3 of 16\n\ninjector模块\r\n如果分析还原好的injector，会发现普遍做了混淆处理，差别只是混淆程度的大小。下面是一例\r\nSmartAssembly混淆并且资源部分被加密的injector：\r\n如上图所示，首先通过Reverse + GZip + Protubuf.Deserialize组合拳，获取相关配置信息，之后是根据配置\r\n检查运行环境、对抗沙箱、创建互斥体、持久化等，最后从资源中获取payload加载运行。该样本没有进\r\n入任何一个if语句，很快到了最后一个重要函数，该函数主要实现最终payload的注入。根据配置的不同存\r\n在4种注入方式，傀儡进程（Process Hollowing）是被最多使用的方式。\r\nhttps://blog.netlab.360.com/purecrypter\r\nPage 4 of 16\n\n最终payload存储在资源中，解密后的资源如下图：\r\n经过Reverse + GZip解压缩后创建傀儡进程启动最终的payload。\r\n上面最终推广的payload为AgentTesla，其配置信息如下：\r\nhost: raphaellasia.com\r\nport:587\r\nusername: origin@raphaellasia.com\r\npwd: student@1980\r\nto: origin2022@raphaellasia.com\r\n意外发现\r\nPureCrypter喜欢将injector伪装成图片供downloader下载，图片名比较随机，具有明显机器生成的特点。下\r\n面是实际检测到的一些图片名。\r\n# pattern 1\r\n/dl/0414/net_Gzhsuovx.bmp\r\n/dl/0528/mars2_Hvvpvuns.bmp\r\n/dl/0528/az_Tsrqixjf.bmp\r\n# pattern 2\r\n/040722/azne_Bvaquebo.bmp\r\n/04122022/net_Ygikzmai.bmp\r\n/04122022/azne_Jzoappuq.bmp\r\n/04122022/pm_Dxjlqugu.bmp\r\n/03252022/azne_Rmpsyfmd.bmp\r\n# pattern 3\r\n/Rrgbu_Xruauocq.png\r\n/Gepstl_Mouktkmu.bmp\r\nhttps://blog.netlab.360.com/purecrypter\r\nPage 5 of 16\n\n/Zhyor_Uavuxobp.png\r\n/Xgjbdziy_Kglkvdfb.png\r\n/Ankwgqtwf_Bdevsqnz.bmp\r\n/Osgyjgne_Ymgrebdt.png\r\n/Rrgbu_Xruauocq.png\r\n/Gepstl_Mouktkmu.bmp\r\n/Osgyjgne_Ymgrebdt.png\r\n/Osgyjgne_Ymgrebdt.png\r\n/Zhyor_Uavuxobp.png\r\n在对多个样本进行分析后，我们发现请求的图片名与downloader的AssmblyName存在对应关系。\r\n图片名 AssmblyName\r\nBelcuesth_Ipdtbadv.png Belcuesth\r\nKzzlcne_Prgftuxn.png Kzzlcne\r\nnewminer2_Jrltkmeh.jpg newminer2\r\nBelcuesth_Ipdtbadv.png Belcuesth\r\nNykymad_Bnhmcpqo.bmp Nykymad\r\nmy_ori_Ywenb_Yzueqpjp.bmp my ori Ywenb\r\n下划线后面的内容总是符合正则表达式\r\n[A-Z][a-zA-Z]{7}\r\n基于这个发现可以结合样本和网络请求两个维度的数据确认PureCrypter的下载行为。\r\nC2和传播分析\r\nPureCrypter今年一直在活跃，我们先后检测到的C2 域名和IP有200多个，传播的家族数10多种。在我们看\r\n到的案例中，传播链条普遍比较长，PureCrypter的downloader模块经常跟各种其它类型的前置downloader\r\n配合使用。因为C2太多，这里主要以 185.215.113.89 为例从规模和传播手法方面做一个介绍。\r\nC2分析\r\n这个C2在我们检测到的C2中活跃度比较高，其活跃时间为今年4月中旬到6月初，如下图所示。\r\nhttps://blog.netlab.360.com/purecrypter\r\nPage 6 of 16\n\n其活跃程度可以用我们的图系统直观反映出来。\r\n能看到它关联到了比较多的域名和IP，下面是该IP在这段时间的部分域名解析情况。\r\n2022-04-14 22:47:34 2022-07-05 00:42:16 22 rockrock.ug A 185.215.113.89\r\n2022-04-21 08:22:03 2022-06-13 09:17:50 15 marnersstyler.ug A 185.215.113.89\r\n2022-04-17 03:17:41 2022-06-10 04:31:27 2538 qwertzx.ru A 185.215.113.89\r\n2022-04-24 02:16:46 2022-06-09 00:11:24 3 hubvera.ac.ug A 185.215.113.89\r\n2022-04-15 23:47:43 2022-06-08 19:24:59 43 timekeeper.ug A 185.215.113.89\r\nhttps://blog.netlab.360.com/purecrypter\r\nPage 7 of 16\n\n2022-04-15 11:34:35 2022-06-08 19:24:59 35 boundertime.ru A 185.215.113.89\r\n2022-04-14 23:01:50 2022-06-08 15:33:25 24 timebound.ug A 185.215.113.89\r\n2022-04-15 21:58:54 2022-06-08 05:43:21 7 www.rockrock.ug A 185.215.113.89\r\n2022-04-16 20:50:41 2022-06-08 01:44:01 54 beachwood.ug A 185.215.113.89\r\n2022-04-23 16:23:41 2022-06-07 18:30:51 5 asdsadasrdc.ug A 185.215.113.89\r\n2022-05-02 22:35:40 2022-06-07 04:34:12 17 leatherlites.ug A 185.215.113.89\r\n2022-05-29 17:46:00 2022-06-07 03:50:36 3 underdohg.ac.ug A 185.215.113.89\r\n2022-04-15 22:34:53 2022-06-07 03:33:10 18 rockphil.ac.ug A 185.215.113.89\r\n2022-04-15 03:09:13 2022-06-07 03:19:50 14 pdshcjvnv.ug A 185.215.113.89\r\n2022-04-15 03:04:12 2022-06-07 03:12:04 16 mistitis.ug A 185.215.113.89\r\n2022-04-16 03:08:46 2022-06-07 03:08:48 18 nicoslag.ru A 185.215.113.89\r\n2022-04-19 02:33:31 2022-06-07 02:37:08 16 danwisha.ac.ug A 185.215.113.89\r\n2022-05-28 23:56:02 2022-06-05 05:14:50 7 underdohg.ug A 185.215.113.89\r\n2022-05-10 14:44:28 2022-06-02 17:40:12 24 jonescourtney.ac.ug A 185.215.113.89\r\n2022-06-02 07:44:25 2022-06-02 07:44:25 1 triathlethe.ug A 185.215.113.89\r\n2022-04-24 03:05:38 2022-06-01 16:54:59 2191 qwertasd.ru A 185.215.113.89\r\n2022-04-17 09:34:27 2022-06-01 01:42:07 2 partaususd.ru A 185.215.113.89\r\n2022-04-25 00:08:53 2022-05-31 07:17:00 5 timecheck.ug A 185.215.113.89\r\n2022-04-21 02:36:41 2022-05-31 01:20:37 21 courtneyjones.ac.ug A 185.215.113.89\r\n2022-04-16 19:09:02 2022-05-31 01:02:02 14 marksidfgs.ug A 185.215.113.89\r\n2022-04-25 03:01:15 2022-05-30 03:04:29 10 mofdold.ug A 185.215.113.89\r\n2022-04-15 02:36:21 2022-05-30 02:32:53 17 check-time.ru A 185.215.113.89\r\n2022-04-18 02:21:26 2022-05-30 02:22:30 17 agenttt.ac.ug A 185.215.113.89\r\n2022-04-17 03:17:46 2022-05-29 03:17:26 15 qd34g34ewdfsf23.ru A 185.215.113.89\r\n2022-04-19 02:25:06 2022-05-29 02:22:57 14 andres.ug A 185.215.113.89\r\n2022-04-16 02:27:44 2022-05-29 02:22:47 16 asdasgs.ug A 185.215.113.89\r\n第3列为访问量，不同域名访问量有差别，整体评估应该在千级，而这只是我们看到的众多C2中的一个。\r\n通过关联分析，我们发现 185.215.113.89 经常跟 62.204.41.69 (3月)和 45.143.201.4 （6月）这两个C2配\r\n合使用，它们关系可以用下图关联。\r\nhttps://blog.netlab.360.com/purecrypter\r\nPage 8 of 16\n\n传播分析\r\nPureCrypter采用了downloader+injector的双模块机制，前者被传播后再传播后者，相当于在传播链条上增\r\n加了一环，加上作者惯用图片名后缀、编码传输等手段隐藏injector，这些本身就已足够复杂。而作者在\r\ndownloader传播这块也下了不少功夫，我们看到的有通过bat2exe捆绑破解软件的方式、使用VBS和\r\npowershell脚本loader的方式、结合Godzilla前置loader等多种方式，这些操作叠加起来的结果就是\r\nPureCrypter的传播链条普遍较深较复杂。在5月份我们甚至发现通过PureCrypter传播Raccoon，后者进一步\r\n传播Azorult、Remcos、PureMiner、PureClipper的案例。\r\nhttps://blog.netlab.360.com/purecrypter\r\nPage 9 of 16\n\n下面介绍几个典型传播手法。\r\n这个主要在一些破解软件上有见到，downloader模块通过Bat2Exe捆绑到前者进行传播。实际运行时保存\r\n在资源中的恶意文件被释放到tmp目录下，通过start.bat来触发运行。释放在tmp目录下的文件形如下图：\r\nstart.bat命令形如：\r\n在我们分析的案例中，.lnk文件被用来启动powershell执行恶意命令。\r\nhttps://blog.netlab.360.com/purecrypter\r\nPage 10 of 16\n\nPowershell解码出一个base64编码的VBS loader：\r\nVBS loader进一步释放一个downloader，并通过shellcode运行后者。该downloader的敏感信息都保存在资源\r\n中，包括进程名和download url，如下图所示。\r\n根据运行后的进程名将该downloader命名为 Meteorite ，上图中的url就对应PureCrypter的downloader模\r\n块，完整的通信过程如下图：\r\nhttps://blog.netlab.360.com/purecrypter\r\nPage 11 of 16\n\n最终payload为Mars Stealer，c2: rockrock.ug/gggate.php ，配置信息如下:\r\n2，“VBS/Powershell + PureCrypter” 传播PureMiner\r\n涉及的C2为 89.34.27.167 ，入口为一个VBS脚本或者Powershell脚本，下面是VBS脚本的例子。\r\n网络通信流量如下：\r\nPowershell脚本如下：\r\nhttps://blog.netlab.360.com/purecrypter\r\nPage 12 of 16\n\nPowershell脚本下载并运行PureCrypter的downloader模块，后者继续下载injector，这里比较特殊的是使用\r\nDiscord来分发injector:\r\n最终的payload为PureMiner，C2如下:\r\n185.157.160.214\r\npwn.oracleservice.top\r\npwn.letmaker.top\r\nport: 8080, 8444\r\n3，利用未知.NET downloader传播 AgentTesla、RedLine\r\n该downloader家族未知，其运行时同样分为多个阶段，其中stage0模块负责加载资源中的stage1恶意模块：\r\nstage1模块运行后会继续加载下一阶段模块stage2：\r\nhttps://blog.netlab.360.com/purecrypter\r\nPage 13 of 16\n\nstage2模块也是一个Crypter(暂未命名)，与PureCrypter不同，他还提供了下载功能，用来下载恶意\r\nPureCrypter的downloader模块，即图中的 puty.exe 。\r\n从资源中异或解密恶意软件，key为 bnvFGkCKlnhQ ，相关算法如下：\r\n因此实际传播了两个家族：\r\nstage2的payload为AgentTesla，c2为\r\nhttps[:]//api.telegram.org/bot5421147975:AAGrsGnLOHZfFv7yHuj3hZdQSOVmPodIAVI/sendDocument\r\nhttps://blog.netlab.360.com/purecrypter\r\nPage 14 of 16\n\nPureCrypter的payload为RedLine，c2为\r\nIP: workstation2022.ddns.net:62099\r\nID: cheat\r\n总结\r\nPureCrypter是一个仍在活跃的MaaS类型的botnet，已经传播了10多种影响比较大的其它恶意家族。\r\nPureCrypter的传播手法普遍比较复杂，其背后应该存在至少一个比较专业的黑产组织，他们拥有较多的技\r\n术、域名和IP资源，预计今后会继续传播其它的恶意家族。我们对PureCrypter的传播活动一直有较好的检\r\n测，会第一时间将C2等威胁信息添加到我们的威胁情报库中。后续我们会继续保持关注，及时更新最新\r\n的威胁信息。\r\n联系我们\r\n感兴趣的读者，可以在 twitter 或者通过邮件netlab[at]360.cn联系我们。\r\nIOC\r\nMD5\r\nFamily Name MD5\r\nBat2Exe Downloader 424ed5bcaae063a7724c49cdd93138f5\r\nVBS downloader 3f20e08daaf34b563227c797b4574743\r\nPowershell downloader c4c5167dec23b6dd2d565cd091a279e4\r\n未知.NET Downloader 9b70a337824bac612946da1432295e9c\r\nC2 \u0026URL\r\nagenttt.ac.ug\r\nandres.ug\r\nasdasgs.ug\r\nasdsadasrdc.ug\r\nbeachwood.ug\r\nboundertime.ru\r\ncheck-time.ru\r\ncourtneyjones.ac.ug\r\ndanwisha.ac.ug\r\nhopeforhealth.com.ph\r\nhubvera.ac.ug\r\njonescourtney.ac.ug\r\nhttps://blog.netlab.360.com/purecrypter\r\nPage 15 of 16\n\nleatherlites.ug\r\nmarksidfgs.ug\r\nmarnersstyler.ug\r\nmistitis.ug\r\nmofdold.ug\r\nmomomolastik.ug\r\nnicoslag.ru\r\npartaususd.ru\r\npdshcjvnv.ug\r\nqd34g34ewdfsf23.ru\r\nqwertasd.ru\r\nqwertzx.ru\r\nraphaellasia.com\r\nrockphil.ac.ug\r\nrockrock.ug\r\ntimebound.ug\r\ntimebounder.ru\r\ntimecheck.ug\r\ntimekeeper.ug\r\ntriathlethe.ug\r\nunderdohg.ac.ug\r\nunderdohg.ug\r\nwww.rockrock.ug\r\n212.192.246.195\r\n37.0.11.164:8080\r\n80.66.75.123\r\n89.34.27.167\r\n91.243.44.142\r\n185.215.113.89\r\n62.204.41.69\r\n45.143.201.4\r\nhttps://cdn.discordapp.com/attachments/994652587494232125/1004377750762704896/ps1-6_Hjuvcier.png\r\nSource: https://blog.netlab.360.com/purecrypter\r\nhttps://blog.netlab.360.com/purecrypter\r\nPage 16 of 16",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://blog.netlab.360.com/purecrypter"
	],
	"report_names": [
		"purecrypter"
	],
	"threat_actors": [],
	"ts_created_at": 1775434561,
	"ts_updated_at": 1775791245,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/59f5dd966d8b138d3c552fcbc2d3e32c090ec8f2.pdf",
		"text": "https://archive.orkl.eu/59f5dd966d8b138d3c552fcbc2d3e32c090ec8f2.txt",
		"img": "https://archive.orkl.eu/59f5dd966d8b138d3c552fcbc2d3e32c090ec8f2.jpg"
	}
}