TorNet Backdoor
Um autor de ameaça motivado financeiramente tem orquestrado uma campanha de e-mail de phishing desde pelo menos julho de 2024, com foco particular em usuários na Polônia e na Alemanha. Esta campanha levou à implantação de múltiplas ameaças, incluindo o Agent Tesla, o Snake Keylogger e um backdoor recém-identificado chamado TorNet.
TorNet deriva seu nome de sua capacidade de facilitar a comunicação entre o invasor e o sistema comprometido por meio da rede de anonimato TOR. A campanha exibe técnicas avançadas de evasão, permitindo que os invasores operem furtivamente enquanto mantêm acesso persistente às máquinas infectadas.
Índice
Táticas de Evasão Inteligentes Garantem Intrusões Furtivas
Um dos principais mecanismos de persistência usados pelo agente de ameaça envolve o agendamento de tarefas do Windows em dispositivos de vítimas, incluindo aqueles que funcionam com bateria fraca. Além disso, os invasores desconectam o sistema comprometido da rede antes de implantar o payload, reconectando-o somente depois. Essa tática ajuda a ignorar a detecção por soluções de segurança baseadas em nuvem, reduzindo a probabilidade de identificação precoce de ameaças.
E-mails de Phishing Enganosos Carregam Cargas Úteis Ameaçadoras
O ataque começa com e-mails de phishing cuidadosamente elaborados que se passam por instituições financeiras legítimas ou empresas de logística e manufatura. Esses e-mails geralmente contêm confirmações falsas de transferência de dinheiro ou recibos de pedidos fraudulentos.
Para evitar ainda mais a detecção, os invasores anexam arquivos compactados com a extensão '.tgz'. Essa escolha incomum ajuda os arquivos a passarem pelos filtros de segurança, aumentando as chances de que os destinatários os abram.
Uma Execução em Vários Estágios Libera o TorNet
Depois que o destinatário extrai e abre o arquivo anexado, um carregador .NET é executado. Este carregador é responsável por buscar e executar o PureCrypter diretamente na memória, preparando o cenário para mais comprometimento.
O PureCrypter então lança o backdoor TorNet, mas não antes de conduzir múltiplas verificações de segurança. Elas incluem medidas anti-depuração, detecção de máquina virtual e outras técnicas projetadas para escapar de ferramentas de análise e anti-ameaças.
O TorNet Backdoor Expande a Superfície de Ataque
Após a implantação bem-sucedida, o backdoor TorNet estabelece uma conexão com seu servidor Command-and-Control (C2) enquanto também vincula o dispositivo infectado à rede TOR. Essa conexão permite que o agente da ameaça mantenha a comunicação com o sistema comprometido enquanto permanece anônimo.
O TorNet é capaz de receber e executar assemblies .NET arbitrários diretamente na memória, ampliando significativamente a superfície de ataque. Ao baixar e executar payloads inseguros adicionais do servidor C2, os invasores podem escalar suas atividades, levando a mais intrusões no sistema e potenciais violações de dados.
TorNet Backdoor Vídeo
Dica: Ligue o som e assistir o vídeo em modo de tela cheia.
