
Aktor ancaman yang termotivasi secara finansial telah dikaitkan dengan kampanye email phishing yang sedang berlangsung yang telah berlangsung sejak setidaknya Juli 2024 secara khusus menargetkan pengguna di Polandia dan Jerman.
Serangan telah menyebabkan penyebaran berbagai muatan, seperti Agen Tesla, Snake Keylogger, dan backdoor yang sebelumnya tidak berdokumen dijuluki tornet yang disampaikan melalui purecrypter. Tornet dinamai demikian karena fakta bahwa hal itu memungkinkan aktor ancaman untuk berkomunikasi dengan mesin korban melalui jaringan anonimitas Tor.
“Aktor ini menjalankan tugas yang dijadwalkan jendela pada mesin korban – termasuk pada titik akhir dengan baterai rendah – untuk mencapai kegigihan,” kata peneliti Cisco Talos Chetan Raghuprasad dalam sebuah analisis yang diterbitkan hari ini.

“Aktor juga memutuskan mesin korban dari jaringan sebelum menjatuhkan muatan dan kemudian menghubungkannya kembali ke jaringan, memungkinkan mereka untuk menghindari deteksi dengan solusi cloud antimalware.”
Titik awal serangan adalah email phishing yang memiliki konfirmasi transfer uang palsu atau tanda terima pesanan, dengan aktor ancaman yang menyamar sebagai lembaga keuangan dan perusahaan manufaktur dan logistik. Terlampir pada pesan -pesan ini adalah file dengan ekstensi “.tgz” dalam upaya yang mungkin untuk menghindari deteksi.

Membuka lampiran email terkompresi dan mengekstraksi konten arsip mengarah ke pelaksanaan .NET loader yang, pada gilirannya, mengunduh dan menjalankan purecrypter langsung dalam memori.
Malware Purecrypter kemudian mulai meluncurkan Tornet Backdoor, tetapi tidak sebelum melakukan serangkaian anti-debugger, anti-analisis, anti-VM, dan pemeriksaan anti-malware pada mesin korban untuk terbang di bawah radar.
“Tornet backdoor membuat koneksi ke server C2 dan juga menghubungkan mesin korban ke jaringan TOR,” kata Raghuprasad. “Ini memiliki kemampuan untuk menerima dan menjalankan rakitan .NET sewenang -wenang dalam memori mesin korban, diunduh dari server C2, meningkatkan permukaan serangan untuk intrusi lebih lanjut.”

Pengungkapan itu datang beberapa hari setelah perusahaan intelijen ancaman mengatakan mereka mengamati lonjakan ancaman email yang memanfaatkan pengasuhan teks tersembunyi di paruh kedua tahun 2024 dengan maksud untuk menghindari ekstraksi nama merek melalui parser email dan mesin deteksi.
“Salting teks tersembunyi adalah teknik sederhana namun efektif untuk melewati parser email, filter spam yang membingungkan, dan menghindari mesin deteksi yang mengandalkan kata kunci,” kata peneliti keamanan Omid Mirzaei. “Idenya adalah untuk memasukkan beberapa karakter ke dalam sumber HTML dari email yang tidak dapat dikenali secara visual.”
Untuk melawan serangan semacam itu, disarankan untuk mengembangkan teknik penyaringan canggih yang dapat mendeteksi pengasahan teks tersembunyi dan penyembunyian konten, termasuk mendeteksi penggunaan properti CSS seperti “visibilitas” dan “tampilan,” dan mengadopsi pendekatan deteksi kesamaan visual (mis., Pisco) untuk meningkatkan kemampuan deteksi.