Seguir 
Hackers com motivação financeira estão por trás de uma campanha maliciosa em curso que visa a Polônia e a Alemanha. Esses ataques de phishing têm como objetivo implantar várias cargas maliciosas, incluindo Agent Tesla, Snake Keylogger, e uma backdoor inédita apelidada de TorNet, que é entregue via malware PureCrypter .
Detectar Backdoor TorNet
Um aumento significativo em campanhas de phishing , com um aumento de 202% nas mensagens de phishing no segundo semestre de 2024, indica que este vetor de ataque continua a ser uma ameaça persistente. O surgimento de uma backdoor TorNet distribuída via malware PureCrypter em uma campanha de phishing em andamento, que utiliza técnicas avançadas de evasão de detecção, requer respostas ágeis e proativas dos defensores.
Plataforma SOC Prime oferece conteúdo de detecção curado, incluindo regras Sigma independentes de fornecedor e consultas IOC geradas automaticamente, para defender proativamente contra intrusões da backdoor TorNet. Para acessar a pilha de detecção, basta clicar em Explorar Detecções abaixo.
O conteúdo de detecção está alinhado com MITRE ATT&CK® e enriquecido com inteligência de ameaças acionável e metadados relevantes, incluindo falsos positivos, recomendações de configuração de auditoria, binários e referências de mídia para ajudar os defensores a agilizar a pesquisa de ameaças. Além disso, os engenheiros de segurança podem usar Uncoder AI para traduzir instantaneamente o código de detecção no formato de linguagem do SIEM, EDR ou Data Lake em uso, bem como acelerar a análise de IOCs e sua conversão em consultas personalizadas de caça com base em IOCs do relatório correspondente do Cisco Talos.
Análise do Backdoor TorNet
A Cisco Talos identificou recentemente uma campanha maliciosa em curso que está ativa desde pelo menos meados do verão de 2024. A campanha é orquestrada por atores de ameaça com motivação financeira, visando principalmente usuários na Polônia e Alemanha, conforme indicado pelo idioma dos e-mails de phishing. O malware PureCrypter usado nesta campanha entrega várias cargas maliciosas, incluindo Agent Tesla e Snake Keylogger, e instala o TorNet, uma backdoor recém-descoberta. O nome “TorNet” reflete sua capacidade ofensiva de permitir que adversários se comuniquem com a máquina da vítima por meio da rede TOR.
A cadeia de infecção começa com um e-mail de phishing servindo de vetor de ataque inicial. Os adversários enviam confirmações de transferência de dinheiro fraudulentas e recibos de pedidos falsos. A maioria dos e-mails de phishing é escrita em polonês e alemão, sugerindo um foco principal em usuários dessas regiões, embora algumas amostras em inglês também tenham sido identificadas.
Os e-mails de phishing contêm anexos com a extensão de arquivo “.tgz”, indicando que o atacante usou GZIP para comprimir um arquivo TAR do arquivo malicioso. Essa tática ajuda a obscurecer a verdadeira natureza do anexo e dificultar a análise anti-malware.
Ao abrir o anexo do e-mail, extraí-lo e executar o carregador .NET, ele baixa o malware PureCrypter criptografado de um servidor alvo. O carregador então o descriptografa e executa na memória do sistema. Em alguns casos, o PureCrypter implanta a backdoor TorNet, que se conecta ao servidor C2 e integra a máquina comprometida na rede TOR. O TorNet pode buscar e executar assemblies .NET arbitrários na memória, expandindo a superfície de ataque para novas infecções. Notavelmente, os anexos armados comprimidos contêm um executável .NET grande, projetado para baixar o malware da próxima fase de um servidor de preparação remoto ou executar diretamente um binário malicioso incorporado na memória.
O malware PureCrypter instala a backdoor TorNet primeiro criando um mutex na máquina alvo, liberando o endereço IP DHCP atribuído e estabelecendo mais persistência. Em seguida, realiza técnicas de anti-análise, implanta e executa a carga útil, e finalmente renova o endereço IP da máquina vulnerável.
O PureCrypter realiza várias verificações de evasão de detecção. Por exemplo, o malware detecta depuração por meio da função “CheckRemoteDebuggerPresent”, identifica ambientes sandbox ao procurar por “sbieDLL.dll” e “cuckoomon.dll”, e verifica por ambientes virtuais usando consultas WMI, procurando strings como “VMware”, “VIRTUAL”, “AMI” e “Xen”. Além disso, o PureCrypter também é capaz de alterar as configurações do Windows Defender executando comandos PowerShell para excluir seu processo e o caminho da backdoor implantada de varreduras de segurança.
Após contornar as verificações de segurança, o PureCrypter descriptografa e entrega a backdoor na pasta temporária do usuário com um nome de arquivo aleatório. Ele também descriptografa outro recurso para gerar nomes de arquivos e nomes de tarefas para o Agendador de Tarefas do Windows. Para estabelecer persistência, adiciona o caminho do carregador à chave de registro Run e cria uma tarefa agendada, que permanece ativa mesmo quando alimentada por bateria. Isso garante execução contínua e impede que o sistema operacional a depriorize quando o dispositivo estiver com pouca energia.
Finalmente, o PureCrypter implanta a backdoor TorNet para se conectar a um servidor C2 via rede TOR, garantindo comunicação furtiva. Ao anonimizar a conexão, torna a detecção mais desafiadora para os defensores. Uma vez conectado, o TorNet envia informações de identificação e permite execução remota de código ao receber assemblies .NET arbitrários do servidor C2, ampliando significativamente a superfície de ataque.
O uso de táticas sofisticadas de evasão de detecção e a capacidade de implantar cargas maliciosas em várias etapas ao longo desta campanha de phishing em curso destaca a importância da vigilância contínua e do monitoramento da rede para combater ameaças cibernéticas em evolução. Plataforma SOC Prime para defesa cibernética coletiva equipa os defensores com um conjunto de produtos à prova de futuro para detecção avançada de ameaças, caça automatizada de ameaças e engenharia de detecção baseada em inteligência para sempre ficar à frente dos adversários e identificar tempestivamente intrusões maliciosas.
