Zaawansowana kampania phishingowa, która została odkryta przez Cisco Talos, rozprzestrzenia nowo zidentyfikowany backdoor TorNet za pośrednictwem załączników .tgz.
Kampania, która została po raz pierwszy wykryta w lipcu 2024 roku, atakuje głównie użytkowników w Polsce i Niemczech, wysyłając e-maile podszywające się pod instytucje finansowe oraz firmy. E-maile te są napisane w językach polskim i niemieckim i zawierają skompresowane archiwa TGZ.
Otwarcie jednego z załączników powoduje pojawienie się pliku wykonywalnego .NET, który pobiera złośliwe oprogramowanie PureCrypter ze zdalnego serwera lub z samego loadera (deszyfrowane algorytmem AES i ładowane do pamięci docelowego urządzenia).
PureCrypter to zaciemniona biblioteka DLL systemu Windows, która zawiera zaszyfrowane pliki binarne legalnych bibliotek DLL, w tym Protobuf-net i biblioteki DLL harmonogramu zadań firmy Microsoft oraz backdoor TorNet.
TorNet to backdoor .NET, używany do łączenia się z serwerem dowodzenia i kontroli (C&C) przez sieć TOR w celu ukrytej komunikacji. Po nawiązaniu połączenia złośliwe oprogramowanie wysyła informacje identyfikacyjne i umożliwia atakującym zdalne wykonywanie kodu poprzez wysyłanie dowolnych zestawów .NET do serwera C&C, co zwiększa powierzchnię ataku.
Źródło: New TorNet backdoor seen in widespread campaign
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
