Negli ultimi mesi, una campagna di phishing ha preso di mira utenti in Polonia e Germania, sfruttando la complessità e la sofisticazione dei malware moderni. Questa campagna è stata collegata a un attore di minacce finanziarie che ha utilizzato PureCrypter per distribuire vari payload, tra cui Agent Tesla e Snake Keylogger, oltre a un nuovo backdoor chiamato TorNet. La particolarità di TorNet è la sua capacità di comunicare con i macchinari delle vittime tramite la rete anonima TOR, rendendo difficile il tracciamento delle attività malevole.

Strategia di attacco

L'attacco inizia con email di phishing che imitano conferme di trasferimenti di denaro o ricevute d'ordine, con l'attore che si finge istituzioni finanziarie o aziende di logistica. Queste email contengono allegati con estensione ".tgz", una strategia usata per eludere i sistemi di rilevamento. Una volta aperto l'allegato, viene eseguito un caricatore .NET che scarica e avvia PureCrypter direttamente in memoria, senza lasciare tracce evidenti sul disco rigido.

Funzionamento di PureCrypter

PureCrypter, una volta attivato, esegue una serie di controlli per eludere i debugger e i software di analisi prima di lanciare il backdoor TorNet. Questo malware stabilisce una connessione con il server di comando e controllo (C2) e connette la macchina della vittima alla rete TOR. Il backdoor TorNet può ricevere ed eseguire assemblaggi .NET arbitrari nella memoria della macchina vittima, aumentando così la superficie di attacco per ulteriori intrusioni.

Misure di difesa

Per contrastare queste minacce, gli esperti raccomandano lo sviluppo di tecniche di filtraggio avanzate in grado di rilevare i tentativi di occultamento di testo e altre tecniche di camuffamento del contenuto. È essenziale anche l'adozione di approcci di rilevamento basati sulla somiglianza visiva per migliorare le capacità di rilevamento.

Analisi e implicazioni

La recente analisi di Cisco Talos mette in luce come questi attacchi riescano a sfuggire ai rilevamenti grazie a tecniche avanzate di elusione e a un uso intelligente delle comunicazioni criptate. Questo caso dimostra l'importanza di mantenere aggiornati i sistemi di sicurezza e di adottare pratiche di cybersecurity proattive per affrontare le minacce in continua evoluzione.