Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Tabla de contenidos:
Hackers con motivación financiera están detrás de una campaña maliciosa en curso que tiene como objetivo Polonia y Alemania. Estos ataques de phishing pretenden desplegar múltiples cargas útiles, incluyendo Agent Tesla, Snake Keylogger, y un nuevo backdoor denominado TorNet, que se entrega a través de malware PureCrypter.
Detectar el backdoor TorNet
Un aumento significativo en campañas de phishing, con un 202% de incremento en mensajes de phishing durante la segunda mitad de 2024, indica que este vector de ataque sigue siendo una amenaza persistente. La aparición de un backdoor TorNet distribuido a través de malware PureCrypter en una campaña de phishing en curso, que utiliza técnicas avanzadas de evasión de detección, requiere respuestas rápidas y proactivas de los defensores. in phishing messages over the second half of 2024, indicates that this attack vector continues to be a persistent threat. The emergence of a TorNet backdoor distributed via PureCrypter malware in an ongoing phishing campaign, which uses advanced detection evasion techniques, requires swift and proactive responses from defenders.
Plataforma SOC Prime ofrece contenido de detección curado, incluyendo reglas Sigma independientes de proveedor y consultas IOC generadas automáticamente, para defender de manera proactiva contra intrusiones de backdoor TorNet. Para acceder a la pila de detección, simplemente haga clic en Explorar Detecciones abajo.
El contenido de detección está alineado con MITRE ATT&CK® y enriquecido con inteligencia de amenazas procesable y metadatos relevantes, incluidos falsos positivos, recomendaciones de configuración de auditoría, binarios y referencias de medios para ayudar a los defensores a agilizar la investigación de amenazas. Además, los ingenieros de seguridad pueden usar Uncoder AI para traducir instantáneamente el código de detección al formato de lenguaje SIEM, EDR o Data Lake en uso, así como acelerar el análisis de IOC y su conversión en consultas de caza personalizadas basadas en IOCs del informe correspondiente de Cisco Talos.
Análisis del backdoor TorNet
Cisco Talos ha identificado recientemente una campaña maliciosa en curso que ha estado activa al menos desde mediados del verano de 2024. La campaña es organizada por actores de amenazas con motivación financiera, que tienen como objetivo principalmente a usuarios en Polonia y Alemania, como lo indican el idioma de los correos electrónicos de phishing. El malware PureCrypter utilizado en esta campaña entrega múltiples cargas útiles nefastas, incluyendo Agent Tesla y Snake Keylogger, y deja caer TorNet, un nuevo backdoor descubierto. El nombre «TorNet» refleja su capacidad ofensiva para permitir que los adversarios se comuniquen con la máquina de la víctima a través de la red TOR.
La cadena de infección comienza con un correo electrónico de phishing que sirve como vector de ataque inicial. Los adversarios envían confirmaciones de transferencia de dinero fraudulentas y recibos de pedidos falsos. La mayoría de los correos electrónicos de phishing están escritos en polaco y alemán, lo que sugiere un enfoque principal en usuarios de esas regiones, aunque también se han identificado algunas muestras en inglés.
Los correos electrónicos de phishing contienen adjuntos con una extensión de archivo “.tgz”, indicando que el atacante ha usado GZIP para comprimir un archivo TAR del archivo malicioso. Esta táctica ayuda a oscurecer la verdadera naturaleza del adjunto y dificulta el análisis antimalware.
Al abrir el adjunto del correo electrónico, extraerlo y ejecutar el cargador .NET, se descarga el malware PureCrypter cifrado desde un servidor objetivo. El cargador luego lo descifra y lo ejecuta en la memoria del sistema. En algunos casos, PureCrypter despliega el backdoor TorNet, que se conecta al servidor C2 e integra la máquina comprometida en la red TOR. TorNet puede obtener y ejecutar ensamblajes .NET arbitrarios en la memoria, expandiendo la superficie de ataque para una mayor infección. Notablemente, los adjuntos comprimidos armados contienen un gran ejecutable .NET, diseñado para descargar el malware de siguiente estadio desde un servidor de preparación remoto o ejecutar directamente un binario malicioso incrustado en la memoria.
El malware PureCrypter deja caer el backdoor TorNet creando primero un mutex en la máquina objetivo, liberando la dirección IP DHCP asignada y estableciendo más persistencia. Luego lleva a cabo técnicas de anti-análisis, despliega y ejecuta la carga útil, y finalmente renueva la dirección IP de la máquina vulnerable.
PureCrypter lleva a cabo múltiples comprobaciones de evasión de detección. Por ejemplo, el malware detecta la depuración mediante la función “CheckRemoteDebuggerPresent”, identifica entornos de sandbox escaneando “sbieDLL.dll” y “cuckoomon.dll,” y verifica entornos virtuales usando consultas WMI, buscando cadenas como “VMware,” “VIRTUAL,” “AMI,” y “Xen.” Además, PureCrypter también es capaz de alterar la configuración de Windows Defender ejecutando comandos de PowerShell para excluir su proceso y la ruta del backdoor dejado caer de los escaneos de seguridad.
Después de pasar las comprobaciones de seguridad, PureCrypter descifra y deja caer el backdoor en la carpeta temporal del usuario con un nombre de archivo aleatorio. También descifra otro recurso para generar nombres de archivos y tareas para el Programador de Tareas de Windows. Para establecer persistencia, agrega la ruta del cargador a la clave de registro Run y crea una tarea programada, que permanece activa incluso con energía de batería. Esto asegura la ejecución continua y evita que el sistema operativo lo despriorice cuando el dispositivo tiene poca energía de batería.
Finalmente, PureCrypter deja caer el backdoor TorNet para conectar a un servidor C2 a través de la red TOR, asegurando comunicación sigilosa. Al anonimizar la conexión, hace que la detección sea más desafiante para los defensores. Una vez conectado, TorNet envía información de identificación y habilita la ejecución remota de código al recibir ensamblajes .NET arbitrarios del servidor C2, ampliando significativamente la superficie de ataque.
El uso de tácticas sofisticadas de evasión de detección y la capacidad de desplegar cargas útiles de múltiples etapas a lo largo de esta campaña de phishing en curso subraya la importancia de la vigilancia continua y el monitoreo de la red para contrarrestar las amenazas cibernéticas en evolución. Plataforma SOC Prime para defensa cibernética colectiva equipa a los defensores con un conjunto de productos a prueba de futuro para la detección avanzada de amenazas, cacería automatizada de amenazas y ingeniería de detección impulsada por inteligencia para siempre estar por delante de los adversarios e identificar intrusiones maliciosas a tiempo.
