С июля 2024 года в Польше и Германии развернулась масштабная фишинговая кампания, нацеленная на кражу конфиденциальной информации и получение несанкционированного доступа к компьютерным системам. Киберпреступники, движимые финансовой выгодой, маскируются под финансовые учреждения, а также компании, занятые в сфере производства и логистики. Они рассылают фальшивые электронные письма с подтверждениями денежных переводов и ордерами на поставку, чтобы обманом заставить пользователей открыть вредоносные вложения.
В качестве приманки используются сжатые архивы с расширением ".tgz". После их открытия запускается.NET-загрузчик, который, в свою очередь, загружает в память компьютера PureCrypter – вредоносное ПО для доставки других вредоносных программ. PureCrypter действует как многофункциональный инструмент. Он не только доставляет другое вредоносное ПО, но и предпринимает ряд мер, чтобы помешать его обнаружению и анализу. Программа выполняет анти-отладку, проверку на наличие виртуальных машин и антивирусных программ.
Основной целью злоумышленников является установка на компьютеры жертв нескольких видов вредоносного ПО. Среди них такие известные программы, как Agent Tesla и Snake Keylogger, которые специализируются на краже логинов и паролей, а также отслеживании нажатий клавиш. Но главной новинкой в этом арсенале стал TorNet – новый бэкдор, который для связи со своим командным сервером (C2) использует анонимную сеть TOR.
TorNet представляет собой серьезную угрозу, поскольку он способен получать и выполнять произвольные.NET-сборки с управляющего сервера. Это позволяет злоумышленникам расширять свои возможности на зараженных компьютерах. Фактически, он превращает зараженный компьютер в постоянную точку доступа для злоумышленников. Чтобы скрыть следы своих действий, PureCrypter пытается обойти облачные антивирусные решения, отключая и повторно подключая сетевое соединение.
Для обеспечения постоянного присутствия на компьютере жертвы, вредоносная программа использует запланированные задания Windows, создавая их даже на устройствах с низким уровнем заряда батареи. Это позволяет преступникам продолжать свою деятельность даже если пользователь перезагрузит или выключит компьютер. Таким образом, атака приобретает долгосрочный характер.
Исследование кампании было проведено специалистами компании Cisco Talos, в частности, Четаном Рагхупрасадом. В результате анализа было обнаружено, что киберпреступники активно используют различные методы, чтобы усложнить обнаружение вредоносного программного обеспечения и обойти существующие системы защиты. Это свидетельствует о высоком уровне их подготовки и о серьезности угрозы.
Отдельно стоит упомянуть технику «сокрытия текста» (hidden text salting), которая, хотя и не является частью основной кампании, имеет схожие корни. Этот метод, обнаруженный исследователем безопасности Омидом Мирзаеи, используется для обхода фильтров электронной почты и спам-фильтров. Он заключается во внедрении невидимых символов в HTML-код письма, используя CSS-свойства "visibility" и "display" для скрытия содержимого от человеческого глаза.
Чтобы бороться с этим и подобными методами, эксперты рекомендуют использовать расширенную фильтрацию, а также технологии распознавания визуальной схожести, например, Pisco. Эти технологии позволяют идентифицировать подозрительные письма, даже если они пытаются замаскироваться, и тем самым обеспечивают более надежную защиту от вредоносных программ.
Изображение носит иллюстративный характер
В качестве приманки используются сжатые архивы с расширением ".tgz". После их открытия запускается.NET-загрузчик, который, в свою очередь, загружает в память компьютера PureCrypter – вредоносное ПО для доставки других вредоносных программ. PureCrypter действует как многофункциональный инструмент. Он не только доставляет другое вредоносное ПО, но и предпринимает ряд мер, чтобы помешать его обнаружению и анализу. Программа выполняет анти-отладку, проверку на наличие виртуальных машин и антивирусных программ.
Основной целью злоумышленников является установка на компьютеры жертв нескольких видов вредоносного ПО. Среди них такие известные программы, как Agent Tesla и Snake Keylogger, которые специализируются на краже логинов и паролей, а также отслеживании нажатий клавиш. Но главной новинкой в этом арсенале стал TorNet – новый бэкдор, который для связи со своим командным сервером (C2) использует анонимную сеть TOR.
TorNet представляет собой серьезную угрозу, поскольку он способен получать и выполнять произвольные.NET-сборки с управляющего сервера. Это позволяет злоумышленникам расширять свои возможности на зараженных компьютерах. Фактически, он превращает зараженный компьютер в постоянную точку доступа для злоумышленников. Чтобы скрыть следы своих действий, PureCrypter пытается обойти облачные антивирусные решения, отключая и повторно подключая сетевое соединение.
Для обеспечения постоянного присутствия на компьютере жертвы, вредоносная программа использует запланированные задания Windows, создавая их даже на устройствах с низким уровнем заряда батареи. Это позволяет преступникам продолжать свою деятельность даже если пользователь перезагрузит или выключит компьютер. Таким образом, атака приобретает долгосрочный характер.
Исследование кампании было проведено специалистами компании Cisco Talos, в частности, Четаном Рагхупрасадом. В результате анализа было обнаружено, что киберпреступники активно используют различные методы, чтобы усложнить обнаружение вредоносного программного обеспечения и обойти существующие системы защиты. Это свидетельствует о высоком уровне их подготовки и о серьезности угрозы.
Отдельно стоит упомянуть технику «сокрытия текста» (hidden text salting), которая, хотя и не является частью основной кампании, имеет схожие корни. Этот метод, обнаруженный исследователем безопасности Омидом Мирзаеи, используется для обхода фильтров электронной почты и спам-фильтров. Он заключается во внедрении невидимых символов в HTML-код письма, используя CSS-свойства "visibility" и "display" для скрытия содержимого от человеческого глаза.
Чтобы бороться с этим и подобными методами, эксперты рекомендуют использовать расширенную фильтрацию, а также технологии распознавания визуальной схожести, например, Pisco. Эти технологии позволяют идентифицировать подозрительные письма, даже если они пытаются замаскироваться, и тем самым обеспечивают более надежную защиту от вредоносных программ.
