Finansijski motivisani haker cilja na korisnike njemačkog i poljskog govornog područja malverom koji krade informacije i TorNetom, ranije nedokumentovani .NET backdoorom koji koristi Tor mrežu kako bi izbjegao otkrivanje.
phishing email
Napadač šalje lažne potvrde o transferu novca i potvrde o narudžbi putem e-pošte, koje su navodno poslale finansijske institucije i proizvodne i logističke kompanije.
phishing email koji se koristi u kampanji (Izvor: Cisco Talos)
E-poruke sadrže zlonamjerni prilog: TGZ datoteku (GZIP komprimiranu arhivsku datoteku).
“Phishing emailovi su uglavnom napisani na poljskom i njemačkom jeziku, što pokazuje na namjeru hakera da prvenstveno cilja korisnike u tim zemljama. Pronašli smo i neke uzorke e-pošte za krađu identiteta iz iste kampanje napisane na engleskom,” rekli su istraživači Cisco Talosa.
Navodno je kampanja aktivna od jula 2024.
Otpušteni malver
Korisnici koji preuzmu prilog i raspakuju ga pokreću .NET izvršnu datoteku, koja preuzima i pokreće PureCrypter, popularni loader maliciozninog softvera.
PureCrypter se koristi za preuzimanje jednog ili više dodatnih malicioznih programa:
- Agent Tesla – trojanac za daljinski pristup (RAT) i kradljivac podataka
- Snake Keylogger – kradljivac krendicijala i keylogger
- TorNet – nikada ranije dokumentovani backdoor
PureCrypter, otkrili su istraživači, koristi pametnu tehniku kako bi spriječio anti-malver programe zasnovane na cloud-u da otkriju dodatni maliciozni softver koji preuzima: naređuje ciljnoj mašini da “ispusti” trenutno dodijeljenu DHCP IP adresu, a zatim mu naređuje da obnovi IP addes kada se malver pokrene i pokrene.
PureCrypter takođe obavlja anti-debugger, anti-analizu, anti-VM i anti-malware provjere prije pokretanja, i koristi nekoliko metoda upornost.
Što se tiče mogućnosti, Agent Tesla i Snake Keylogger su poznate količine. TorNet backdoor, s druge strane, je sposoban da poveže žrtvu sa TOR mrežom i uspostavi anonimnu vezu sa C2 serverom.
„[TorNet takođe] ima mogućnost primanja i pokretanja proizvoljnih .NET sklopova u memoriji mašine žrtve, preuzetih sa C2 servera, povećavajući površinu napada za dalje upade“, otkrili su istraživači .
Cisco Talos je podijelio indikatori kompromisa u vezi sa ovom kampanjom.
Izvor:Help Net Security