PureCrypter despliega agente Tesla y Tornet en un ciberataque en curso.

Como en la gran mayoría de las veces, los atacantes hacen uso de correo electronico malicioso para poder esparcir el malware y esta no es la excepción. Un atacante con motivaciones financieras ha iniciado un ataque de phishing a gran parte de la población de Polonia y Alemania desde mediados del 2024. Los ataques llevan dentro de su despliegue cargas utiles como lo son Agente Tesla, Snake Keylogger y una nueva puerta trasera llamada TorNet, la cual como indica su nombre, se comunica a las máquinas de las victimas a través de la red Tor.

El actor logra persistencia en las máquinas windows que controla, de una manera ingeniosa. Despues de tomar control del equipo, realiza una desconexión y posterior conexión donde recien ahi deja la carga útil en el equipo de la victima.

"El actor también desconecta la máquina víctima de la red antes de soltar la carga útil y luego la conecta de nuevo a la red, lo que les permite evadir la detección de las soluciones antimalware en la nube".

Al abrir el archivo adjunto de correo electrónico comprimido y extraer el contenido del archivo, se ejecuta un cargador de .NET que, a su vez, descarga y ejecuta PureCrypter directamente en la memoria.

A continuación, el malware PureCrypter procede a lanzar la puerta trasera de TorNet, pero no antes de realizar una serie de comprobaciones anti-depurador, anti-análisis, anti-VM y anti-malware en la máquina víctima para pasar desapercibido.

La revelación se produce días después de que la firma de inteligencia de amenazas dijera que observó un aumento en las amenazas de correo electrónico que aprovechan la sal de texto oculto en la segunda mitad de 2024 con la intención de eludir la extracción de nombres de marca por parte de analizadores de correo electrónico y motores de detección.

Fuente: PureCrypter despliega el Agente Tesla y la nueva puerta trasera TorNet en los ciberataques en curso