С июля 2024 года злоумышленники ведут активную фишинговую кампанию, направленную на пользователей в Польше и Германии. Атаки организованы финансово мотивированной группой, которая использует вредоносное ПО Agent Tesla, Snake Keylogger и недавно обнаруженный бэкдор TorNet, распространяемый с помощью загрузчика PureCrypter.
TorNet получил своё название из-за способности подключать заражённые устройства к сети анонимизации TOR, обеспечивая злоумышленникам скрытый канал коммуникации. По данныманалитиков Cisco Talos, преступники используют планировщик задач Windows для обеспечения постоянной работы вредоносного ПО, даже на устройствах с низким уровнем заряда батареи. Для обхода антивирусных систем злоумышленники временно отключают заражённые машины от сети перед запуском вредоносного кода, а затем восстанавливают подключение.
Основным методом атаки остаются фишинговые письма с поддельными подтверждениями денежных переводов или заказов. Преступники маскируются под сотрудников финансовых организаций, производственных и логистических компаний. Вложения в таких письмах имеют расширение “.tgz”, что помогает обходить системы обнаружения.
При открытии архива запускается загрузчик на базе .NET, который активирует PureCrypter прямо в оперативной памяти. Этот вредоносный инструмент проверяет устройство на наличие антивирусов , отладчиков, виртуальных машин и только после этого активирует TorNet. Последний устанавливает соединение с сервером управления, передаёт команды и может загружать дополнительные модули в память заражённого устройства, существенно увеличивая потенциал для дальнейших атак.
Исследователи Cisco Talos отмечают, что новая вредоносная программа представляет собой серьёзную угрозу, так как сочетает в себе мощные инструменты скрытности, анонимизации и возможности для дальнейших атак. Комплексное усиления кибербезопасности – необходимая мера для защиты от подобных многоуровневых угроз.