TorNet Backdoor
Un actor de amenazas con fines económicos ha estado organizando una campaña de correo electrónico de phishing desde al menos julio de 2024, con especial atención a los usuarios de Polonia y Alemania. Esta campaña ha dado lugar a la implementación de múltiples amenazas, entre ellas Agent Tesla , Snake Keylogger y una puerta trasera recientemente identificada llamada TorNet.
El nombre TorNet se debe a su capacidad para facilitar la comunicación entre el atacante y el sistema comprometido a través de la red de anonimato TOR. La campaña muestra técnicas avanzadas de evasión, lo que permite a los atacantes operar de forma sigilosa mientras mantienen un acceso persistente a las máquinas infectadas.
Tabla de contenido
Tácticas de evasión inteligentes garantizan intrusiones sigilosas
Uno de los mecanismos de persistencia clave que utiliza el actor de amenazas consiste en programar tareas de Windows en los dispositivos de las víctimas, incluidos aquellos que funcionan con poca batería. Además, los atacantes desconectan el sistema comprometido de la red antes de implementar la carga útil y solo lo vuelven a conectar después. Esta táctica ayuda a eludir la detección por parte de las soluciones de seguridad basadas en la nube, lo que reduce la probabilidad de una identificación temprana de la amenaza.
Los correos electrónicos de phishing engañosos contienen mensajes amenazantes
El ataque comienza con correos electrónicos de phishing cuidadosamente elaborados que se hacen pasar por instituciones financieras legítimas o empresas de logística y fabricación. Estos correos electrónicos a menudo contienen confirmaciones de transferencia de dinero falsas o recibos de pedidos fraudulentos.
Para evitar aún más su detección, los atacantes adjuntan archivos comprimidos con la extensión ".tgz". Esta opción poco común ayuda a que los archivos evadan los filtros de seguridad, lo que aumenta las probabilidades de que los destinatarios los abran.
Una ejecución en varias etapas libera TorNet
Una vez que el destinatario extrae y abre el archivo adjunto, se ejecuta un cargador .NET. Este cargador es responsable de obtener y ejecutar PureCrypter directamente en la memoria, lo que prepara el terreno para una mayor vulneración.
PureCrypter luego lanza la puerta trasera TorNet, pero no antes de realizar múltiples controles de seguridad, que incluyen medidas anti-depuración, detección de máquinas virtuales y otras técnicas diseñadas para evadir herramientas de análisis y anti-amenazas.
La puerta trasera de TorNet amplía la superficie de ataque
Después de implementarse con éxito, la puerta trasera TorNet establece una conexión con su servidor de Comando y Control (C2) y, al mismo tiempo, vincula el dispositivo infectado a la red TOR. Esta conexión permite al actor de la amenaza mantener la comunicación con el sistema comprometido mientras permanece anónimo.
TorNet es capaz de recibir y ejecutar conjuntos arbitrarios de .NET directamente en la memoria, lo que amplía significativamente la superficie de ataque. Al descargar y ejecutar cargas útiles no seguras adicionales desde el servidor C2, los atacantes pueden intensificar sus actividades, lo que conduce a más intrusiones en el sistema y posibles violaciones de datos.
Video TorNet Backdoor
Consejo: encienda el sonido y mire el video en modo de pantalla completa .
