Finansal olarak motive olmuş bir tehdit oyuncusu, en azından Temmuz 2024’ten beri özellikle Polonya ve Almanya’daki kullanıcıları hedefleyen devam eden bir kimlik avı e -posta kampanyasıyla bağlantılıdır.
Saldırılar, Ajan Tesla, Snake Keylogger ve daha önce Purecrypter tarafından sunulan Tornet olarak adlandırılan belgesiz bir arka kapı gibi çeşitli yüklerin konuşlandırılmasına yol açtı. Tornet, tehdit oyuncusunun kurban makinesiyle TOR anonimlik ağı üzerinden iletişim kurmasına izin vermesi nedeniyle öyle adlandırılmıştır.
Cisco Talos araştırmacısı Chetan Raghuprasad, bugün yayınlanan bir analizde, “Aktör kurban makinelerinde – düşük pil ile uç noktalar da dahil olmak üzere – sürgüye ulaşmak için planlanmış bir görev yürütüyor.” Dedi.
“Aktör ayrıca yükü düşürmeden önce kurban makinesini ağdan ayırır ve ardından ağa geri bağlar ve bulut antimal yazılımı çözümleri tarafından algılamadan kaçınır.”
Saldırıların başlangıç noktası, sahte para transferi onayları veya sipariş makbuzları taşıyan bir kimlik avı e -postasıdır ve tehdit oyuncusu finansal kurumlar ve üretim ve lojistik şirketleri olarak maskelenmiştir. Bu mesajlara, “.tgz” uzantılı dosyalara ek olarak tespitten kaçınma girişiminde bulunur.
Sıkıştırılmış e -posta ekinin açılması ve arşiv içeriğinin çıkarılması, doğrudan bellekte purecrypter’i indiren ve çalıştıran bir .NET yükleyicisinin yürütülmesine yol açar.
Purecrypter kötü amaçlı yazılım daha sonra Tornet arka kapısını piyasaya sürmeye devam eder, ancak radarın altında uçmak için kurban makinesinde bir dizi anti-anti-anti-anti-analiz, anti-VM ve anti-kötü amaçlı yazılım kontrolleri yapmadan önce değil.
Raghuprasad, “Tornet arka kapı C2 sunucusuyla bağlantı kurar ve kurban makinesini TOR ağına bağlar.” Diyerek şöyle devam etti: “Kurban makinesinin belleğinde, C2 sunucusundan indirilen ve daha fazla müdahale için saldırı yüzeyini artıran rasgele .NET montajlarını alma ve çalıştırma yeteneklerine sahiptir.”
Açıklama, tehdit istihbarat firmasının, e -posta ayrıştırıcıları ve algılama motorları tarafından marka adı çıkarma amacıyla 2024’ün ikinci yarısında gizli metin tuzlamasından yararlanan e -posta tehditlerinde bir artış gözlemlediğini söyledi.
Güvenlik araştırmacısı Omid Mirzaei, “Gizli metin tuzlaması, e -posta ayrıştırıcılarını atlamak, spam filtrelerini karıştıran ve anahtar kelimelere dayanan kaçamak algılama motorları için basit ama etkili bir tekniktir.” Dedi. “Fikir, görsel olarak tanınmayan bir e -postanın HTML kaynağına bazı karakterleri dahil etmektir.”
Bu tür saldırılara karşı koymak için, “görünürlük” ve “ekran” gibi CSS özelliklerinin kullanımını tespit etmek de dahil olmak üzere gizli metin tuzlama ve içerik gizliliğini tespit edebilen gelişmiş filtreleme teknikleri geliştirilmesi ve görsel benzerlik tespit yaklaşımını (örn. Pisco) geliştirmeniz önerilir. Tespit yetenekleri.