
Un actor de amenaza de motivación financiera se ha vinculado a una campaña de correo electrónico de phishing en curso que ha estado en curso desde al menos julio de 2024, dirigirse específicamente a los usuarios en Polonia y Alemania.
Los ataques han llevado al despliegue de varias cargas útiles, como el agente Tesla, el keylogger de serpiente y una puerta trasera previamente indocumentada doblada Tornet que se entrega por medio de purecrypter. Tornet se llama así debido al hecho de que permite al actor de amenaza comunicarse con la máquina de víctimas sobre la red de anonimato Tor.
“El actor está ejecutando una tarea programada de Windows en las máquinas de víctimas, incluidos los puntos finales con una batería baja, para lograr la persistencia”, el investigador de Cisco Talos Chetan Raghuprasad dicho en un análisis publicado hoy.
“El actor también desconecta la máquina víctima de la red antes de soltar la carga útil y luego la conecta a la red, lo que les permite evadir la detección por soluciones de antimalware en la nube”.
El punto de partida de los ataques es un correo electrónico de phishing que lleva confirmaciones de transferencia de dinero falsas o recibos de pedidos, con el actor de amenazas disfrazado de instituciones financieras y empresas de fabricación y logística. Se adjuntan a estos mensajes con la extensión “.tgz” en un probable intento de evadir la detección.
Abrir el archivo adjunto de correo electrónico comprimido y extraer el contenido del archivo conduce a la ejecución de un cargador .NET que, a su vez, descarga y ejecuta purecrypter directamente en la memoria.
El malware Purecrypter luego procede a lanzar la puerta trasera del tornet, pero no antes de realizar una serie de controles anti-debugger, anti-análisis, anti-VM y anti-malware en la máquina víctima para volar bajo el radar.
“La puerta trasera del tornet establece la conexión con el servidor C2 y también conecta la máquina de víctimas a la red Tor”, señaló Raghuprasad. “Tiene las capacidades de recibir y ejecutar ensamblajes de .NET arbitrarios en la memoria de la máquina de la víctima, descargada del servidor C2, aumentando la superficie de ataque para nuevas intrusiones”.
La divulgación se produce días después de que la firma de inteligencia de amenazas dijo que observó un aumento en las amenazas de correo electrónico que aprovechan el salto de texto oculto en la segunda mitad de 2024 con la intención de evitar la extracción de nombre de marca por analgésicos y motores de detección.
“El salto de texto oculto es una técnica simple pero efectiva para pasar por alto los analizadores de correo electrónico, confundir filtros de spam y evadir motores de detección que dependen de palabras clave”, el investigador de seguridad Omid Mirzaei dicho. “La idea es incluir algunos personajes en la fuente HTML de un correo electrónico que no sea visualmente reconocible”.
Para contrarrestar tales ataques, se recomienda desarrollar técnicas de filtrado avanzadas que puedan detectar el salto de texto oculto y el ocultamiento de contenido, incluida la detección del uso de propiedades de CSS como “visibilidad” y “visualización”, y adoptar un enfoque de detección de similitud visual (p. Ej., Pisco) para mejorar las capacidades de detección.






