Finansal olarak motive olmuş bir tehdit oyuncusu, en azından Temmuz 2024’ten beri özellikle Polonya ve Almanya’daki kullanıcıları hedefleyen devam eden bir kimlik avı e -posta kampanyasıyla bağlantılıdır.
Saldırılar, Ajan Tesla, Snake Keylogger ve daha önce Purecrypter tarafından sunulan Tornet olarak adlandırılan belgesiz bir arka kapı gibi çeşitli yüklerin konuşlandırılmasına yol açtı. Tornet, tehdit oyuncusunun kurban makinesiyle TOR anonimlik ağı üzerinden iletişim kurmasına izin vermesi nedeniyle öyle adlandırılmıştır.
Cisco Talos araştırmacısı Chetan Raghuprasad, “Aktör, kalıcılık elde etmek için düşük pille uç noktalar da dahil olmak üzere kurban makinelerinde Windows planlı bir görev yürütüyor.” söz konusu Bugün yayınlanan bir analizde.
“Aktör ayrıca yükü düşürmeden önce kurban makinesini ağdan ayırır ve ardından ağa geri bağlar ve bulut antimal yazılımı çözümleri tarafından algılamadan kaçınır.”
Saldırıların başlangıç noktası, sahte para transferi onayları veya sipariş makbuzları taşıyan bir kimlik avı e -postasıdır ve tehdit oyuncusu finansal kurumlar ve üretim ve lojistik şirketleri olarak maskelenmiştir. Bu mesajlara, “.tgz” uzantılı dosyalara ek olarak tespitten kaçınma girişiminde bulunur.
Sıkıştırılmış e -posta ekinin açılması ve arşiv içeriğinin çıkarılması, doğrudan bellekte purecrypter’i indiren ve çalıştıran bir .NET yükleyicisinin yürütülmesine yol açar.
Purecrypter kötü amaçlı yazılım daha sonra Tornet arka kapısını piyasaya sürmeye devam eder, ancak radarın altında uçmak için kurban makinesinde bir dizi anti-anti-anti-anti-analiz, anti-VM ve anti-kötü amaçlı yazılım kontrolleri yapmadan önce değil.
Raghuprasad, “Tornet arka kapı C2 sunucusuyla bağlantı kurar ve kurban makinesini TOR ağına bağlar.” Diyerek şöyle devam etti: “Kurban makinesinin belleğinde, C2 sunucusundan indirilen ve daha fazla müdahale için saldırı yüzeyini artıran rasgele .NET montajlarını alma ve çalıştırma yeteneklerine sahiptir.”
Açıklama, tehdit istihbarat firmasının, e -posta ayrıştırıcıları ve algılama motorları tarafından marka adı çıkarma amacıyla 2024’ün ikinci yarısında gizli metin tuzlamasından yararlanan e -posta tehditlerinde bir artış gözlemlediğini söyledi.
Güvenlik araştırmacısı Omid Mirzaei, “Gizli metin tuzlaması, e -posta ayrıştırıcılarını atlamak, spam filtrelerini karıştıran ve anahtar kelimelere dayanan kaçamak algılama motorlarını atlamak için basit ama etkili bir tekniktir.” söz konusu. “Fikir, görsel olarak tanınmayan bir e -postanın HTML kaynağına bazı karakterleri dahil etmektir.”
Bu tür saldırılara karşı koymak için, “görünürlük” ve “ekran” gibi CSS özelliklerinin kullanımını tespit etmek ve görsel benzerlik tespit yaklaşımını benimsemek de dahil olmak üzere gizli metin tuzlama ve içerik gizlemesini tespit edebilen gelişmiş filtreleme tekniklerinin geliştirilmesi önerilir (örn. Pisco) algılama yeteneklerini geliştirmek için.
