Porte dérobée TorNet

Par Mezo en Logiciels malveillants, Portes dérobées, Troyens

Se traduisent par :

Depuis juillet 2024 au moins, un acteur malveillant motivé par des raisons financières organise une campagne de phishing par courrier électronique, ciblant en particulier les utilisateurs en Pologne et en Allemagne. Cette campagne a conduit au déploiement de plusieurs menaces, notamment l' agent Tesla , le Snake Keylogger et une porte dérobée récemment identifiée appelée TorNet.

TorNet doit son nom à sa capacité à faciliter la communication entre l'attaquant et le système compromis via le réseau d'anonymat TOR. La campagne met en avant des techniques d'évasion avancées, permettant aux attaquants d'opérer furtivement tout en conservant un accès permanent aux machines infectées.

Table des matières

Des tactiques d’évasion astucieuses garantissent des intrusions furtives

L’un des principaux mécanismes de persistance utilisés par les auteurs de menaces consiste à planifier des tâches Windows sur les appareils des victimes, y compris ceux fonctionnant avec une batterie faible. De plus, les attaquants déconnectent le système compromis du réseau avant de déployer la charge utile, et ne le reconnectent qu’après. Cette tactique permet de contourner la détection par les solutions de sécurité basées sur le cloud, réduisant ainsi la probabilité d’une identification précoce des menaces.

Les e-mails de phishing trompeurs contiennent des charges utiles menaçantes

L'attaque commence par des e-mails de phishing soigneusement conçus qui se font passer pour des institutions financières ou des entreprises de logistique et de fabrication légitimes. Ces e-mails contiennent souvent de fausses confirmations de transfert d'argent ou de faux reçus de commande.

Pour éviter d'être détectés, les pirates joignent des fichiers compressés avec l'extension « .tgz ». Ce choix peu courant permet aux fichiers de passer à travers les filtres de sécurité, augmentant ainsi les chances que les destinataires les ouvrent.

Une exécution en plusieurs étapes libère TorNet

Une fois que le destinataire a extrait et ouvert l'archive jointe, un chargeur .NET est exécuté. Ce chargeur est chargé de récupérer et d'exécuter PureCrypter directement en mémoire, préparant ainsi le terrain pour de nouveaux compromis.

PureCrypter lance ensuite la porte dérobée TorNet, mais pas avant d'avoir effectué plusieurs contrôles de sécurité. Il s'agit notamment de mesures anti-débogage, de détection de machines virtuelles et d'autres techniques conçues pour échapper aux outils d'analyse et de lutte contre les menaces.

La porte dérobée TorNet étend la surface d’attaque

Une fois déployée avec succès, la porte dérobée TorNet établit une connexion avec son serveur de commande et de contrôle (C2) tout en reliant l'appareil infecté au réseau TOR. Cette connexion permet à l'acteur malveillant de maintenir la communication avec le système compromis tout en restant anonyme.

TorNet est capable de recevoir et d'exécuter des assemblages .NET arbitraires directement en mémoire, ce qui élargit considérablement la surface d'attaque. En téléchargeant et en exécutant des charges utiles non sécurisées supplémentaires à partir du serveur C2, les attaquants peuvent intensifier leurs activités, ce qui entraîne de nouvelles intrusions dans le système et des violations de données potentielles.