Una nuova campagna malevola, avviata da un attore malevolo motivato economicamente, mira a diffondere la nuova backdoor nota come TorNet colpendo principalmente utenti in Polonia e Germania, utilizzando tecniche di phishing sofisticate per infiltrarsi nei sistemi delle vittime.
Indice degli argomenti
L’inizio della campagna: phishing e infezione
La campagna inizia con l’invio di email di phishing che impersonano istituzioni finanziarie e aziende di produzione e logistica. Queste email contengono conferme di trasferimenti di denaro falsi e ricevute di ordini ingannevoli.
La maggior parte dei messaggi è scritta in polacco e tedesco, suggerendo un obiettivo specifico verso questi paesi. Alcuni esempi di email sono stati trovati anche in inglese, indicando una possibile espansione dell’attacco.
Le email contengono allegati con estensione “.tgz”, utilizzando la compressione GZIP per mascherare il contenuto malevolo. Quando un utente apre l’allegato e lo decomprime, viene eseguito un loader .NET che scarica il malware PureCrypter da un server compromesso.
PureCrypter e la backdoor TorNet
Il malware PureCrypter gioca un ruolo cruciale nella catena di attacco. Dopo l’infezione iniziale, infatti, PureCrypter si occupa di scaricare e attivare la backdoor TorNet.
Questa backdoor è progettata per stabilire comunicazioni stealth con il server di comando e controllo (C2) utilizzando la rete TOR, aumentando così la difficoltà nel rilevare le attività malevole.
Tecniche di evasione
Una delle tecniche più insidiose utilizzate dagli attaccanti è la disconnessione temporanea della macchina vittima dalla rete prima del drop del payload.
Questo passaggio consente loro di evitare il rilevamento da parte delle soluzioni antimalware basate su cloud.
Inoltre, PureCrypter esegue controlli anti-analisi per identificare ambienti virtuali e strumenti di debugging, rendendo difficile l’analisi del malware.
Funzionamento di TorNet
La backdoor TorNet è caratterizzata da una serie di funzionalità avanzate:
- Connessione al C2: dopo aver superato i controlli anti-debugging e anti-VM, TorNet stabilisce una connessione TCP al server C2, ricevendo potenzialmente ulteriori payload malevoli.
- Utilizzo della rete TOR: TorNet scarica il pacchetto esperto TOR dal sito ufficiale e lo esegue come processo in background, instradando tutto il traffico attraverso la rete TOR per garantire l’anonimato.
- Esecuzione di comandi arbitrari: il backdoor ha la capacità di ricevere ed eseguire assembly .NET arbitrari nella memoria della macchina vittima, ampliando così la superficie d’attacco.
Perché TorNet è una minaccia grave?
TorNet rappresenta un’evoluzione nelle tecniche di attacco, combinando tecnologie di anonimizzazione con strumenti avanzati di elusione.
Questo malware non si limita a compromettere un sistema, ma crea un canale di comunicazione nascosto che rende estremamente difficile per le aziende rilevarlo e rimuoverlo.
Le sue capacità di ricevere ed eseguire codice arbitrario aprono la porta a una vasta gamma di attività malevole, tra cui:
- Furto di dati sensibili;
- Installazione di ransomware o altri malware secondari;
- Creazione di botnet anonime per attacchi su larga scala.
Come difendersi dalla nuova minaccia TorNet
Per mitigare il rischio di infezione da TorNet è fondamentale adottare una strategia di sicurezza multilivello:
- Educazione e consapevolezza: Gli utenti devono essere formati per riconoscere email di phishing e allegati sospetti.
- Soluzioni di sicurezza avanzate: L’uso di endpoint protection con capacità di rilevamento comportamentale può bloccare minacce come PureCrypter prima che possano eseguire il payload.
- Monitoraggio del traffico di rete: L’analisi delle connessioni verso la rete TOR può aiutare a identificare comportamenti anomali.
- Patch e aggiornamenti regolari: Mantenere il software aggiornato riduce le vulnerabilità che gli attaccanti possono sfruttare.