Мошенники, стремясь к финансовым целям, осуществляют атаки на пользователей из Германии и Польши, используя вредоносное программное обеспечение, предназначенное для кражи информации, а также TorNet - ранее не описанный бэкдор, который задействует сеть Tor для обхода обнаружения.
Фишинговое письмо
Злоумышленники рассылают поддельные электронные письма, представляющие собой подтверждения денежных переводов и квитанции о заказах, якобы отправленные известными компаниями. Эти письма содержат вредоносное вложение - файл TGZ (архивный файл, сжатый с помощью GZIP).
"Фишинговые письма в основном написаны на польском и немецком языках, что свидетельствует о намерении злоумышленников сосредоточить свои усилия на пользователях из этих стран. Мы также выявили несколько примеров фишинговых писем из той же кампании, написанных на английском языке", - отмечают исследователи Cisco Talos.
Судя по всему, кампания продолжается с июля 2024 года.
Удаленное вредоносное ПО
Пользователи, загружающие и распаковывающие вложение, сталкиваются с исполняемым файлом.NET, который запускает популярный загрузчик вредоносных программ - PureCrypter.
PureCrypter служит для загрузки одного или нескольких дополнительных вредоносных программ:
Agent Tesla - троян удаленного доступа (RAT) и похититель данных; Snake Keylogger - кейлоггер для кражи учетных данных;
TorNet - ранее неизвестный бэкдор.
Исследователи обнаружили, что PureCrypter применяет хитрый метод,
позволяющий избежать обнаружения облачными антивирусными программами дополнительного вредоносного ПО, которое он загружает. Он приказывает целевой машине "сбросить" текущий назначенный DHCP IP-адрес, а затем приказывает обновить его сразу после запуска вредоносной программы.
PureCrypter также выполняет проверки на отладку, анализ, виртуальную машину и вредоносное ПО перед запуском и использует несколько методов сохранения.
С точки зрения возможностей, Agent Tesla и Snake Keylogger являются известными инструментами. Однако, было выявлено, что бэкдор TorNet способен подключать машину жертвы к сети TOR и устанавливать анонимное соединение с сервером C2.
"[TorNet] также обладает способностью получать и запускать произвольные сборки.NET в памяти компьютера-жертвы, загруженные с сервера C2, что значительно расширяет поверхность атаки для последующих вторжений", - отмечают исследователи.
Cisco Talos предоставила индикаторы компрометации, связанные с этой кампанией, которые могут быть полезны для финансовых учреждений, а также производственных и логистических компаний.
Основной сайт с дополнительной информацией: