(https://i.postimg.cc/hPZMZs6C/Tor-Browser.png) (https://postimages.org/)
Una campaña maliciosa, descubierta por Cisco Talos en julio de 2024, se dirigía principalmente a usuarios de Polonia y Alemania a través de correos electrónicos de phishing que contenían archivos adjuntos maliciosos camuflados en archivos .tgz. Estos correos electrónicos se hacen pasar por instituciones financieras y empresas, a menudo con temas como confirmaciones de transferencias de dinero o recibos de pedidos. Están escritos principalmente en polaco y alemán y contienen archivos .tgz comprimidos.
Según la investigación de Cisco Talos, compartida con Hackread.com antes de su publicación el martes 28, el actor también ha desplegado otras cargas útiles, incluido "Agent Tesla", Snake Keylogger y una nueva puerta trasera no documentada, que los investigadores denominaron TorNet.
Cuando un usuario extrae un archivo adjunto, aparece un archivo ejecutable .NET que descarga la siguiente etapa del ataque, el malware PureCrypter, desde un servidor remoto o dentro del propio cargador (descifrado mediante el algoritmo AES y cargado en la memoria del dispositivo de destino).
El malware PureCrypter es una biblioteca de vínculos dinámicos de Windows ofuscada con el ofuscador .NET Reactor de Eziriz. Contiene binarios cifrados de DLL legítimas, incluidas Protobuf-net y la DLL del programador de tareas de Microsoft, y la puerta trasera TorNet.
PureCrypter emplea varias técnicas de evasión, que incluyen desconectar la máquina de la víctima de la red antes de soltar las cargas útiles, verificar si hay una máquina virtual, un entorno sandbox o el estado del depurador, y modificar la configuración de Windows Defender. Garantiza la persistencia creando una tarea programada que se ejecuta cada pocos minutos, incluso con poca batería, y agregando entradas al registro de Windows para garantizar que el cargador se ejecute al inicio.
Además, elimina la puerta trasera TorNet, que es una puerta trasera .NET relativamente nueva que se utilizó en este ataque para conectarse a un servidor C2 a través de la red TOR para una comunicación sigilosa. Anonimiza la comunicación con el servidor C2, lo que dificulta la detección. Después de establecer una conexión, envía información de identificación y permite a los atacantes llevar a cabo la ejecución remota de código enviando ensamblados .NET arbitrarios al servidor C2, lo que amplía sustancialmente la superficie de ataque.
Vector de Ataque
(https://i.postimg.cc/13VgXxcZ/Attack-flow.png) (https://postimg.cc/BjsZ7VVh)
La campaña utiliza técnicas avanzadas como desconexiones de red, explotación de la red Tor y cargas útiles de varias etapas. El uso de la red Tor dificulta aún más el seguimiento y la interrupción. Esta campaña destaca la necesidad de una cautela continua y de un monitoreo de la red para abordar las crecientes tácticas de amenaza de los atacantes.
Fuente:
HackRead
https://hackread.com/tornet-backdoor-exploits-tor-network-phishing-attack/