PureCrypter verteilt Agent Tesla und TorNet-Backdoor
Seit Juli 2024 läuft eine aggressive Phishing-Kampagne, die auf Nutzer in Polen und Deutschland abzielt. Mit gefälschten Rechnungen schleusen Hacker PureCrypter ein, um die Spyware Agent Tesla und die neue TorNet-Backdoor zu installieren. Dank Tarnmechanismen bleiben die Angriffe lange unbemerkt.
Eine laufende Phishing-Kampagne nutzt gefälschte Zahlungsbestätigungen und Bestellbelege, um Nutzer in die Falle zu locken. Die Angreifer tarnen sich als Finanzinstitute oder Unternehmen aus der Fertigungs- und Logistikbranche. Ziel ist es, Schadsoftware wie Agent Tesla, Snake Keylogger und die neu entdeckte TorNet-Backdoor auf den Geräten der Opfer zu installieren.
Die gefälschten E-Mails enthalten täuschend echt aussehende Anhänge oder Links, die angeblich zu Rechnungen, Zahlungsbestätigungen oder Bestellübersichten führen. Öffnen die Opfer diese Dateien oder klicken auf die Links, wird schädlicher Code nachgeladen und ausgeführt. Dabei setzen die Angreifer oft auf manipulierte Microsoft-Office-Dokumente mit Makros, ZIP-Archive mit bösartigen Skripten oder eingebettete LNK-Dateien, die den eigentlichen Schadcode nachladen.
Wie funktioniert der Angriff?
Die Angreifer beginnen ihren Angriff, indem sie Phishing-E-Mails an potenzielle Opfer versenden. Diese Nachrichten sind täuschend echt gestaltet und enthalten einen Anhang im .tgz-Format, der vermeintlich harmlose Dokumente beinhaltet. Die Opfer werden dazu verleitet, den Anhang zu öffnen, sei es durch gefälschte Rechnungen, Zahlungsbestätigungen oder Bestellübersichten.
Sobald der Anhang geöffnet wird, beginnt die eigentliche Infektion. Im Hintergrund wird eine .NET-Anwendung gestartet, die den Schadcode von PureCrypter direkt in den Arbeitsspeicher lädt. Dadurch wird die Infektion ausgeführt, ohne dass klassische Sicherheitsprogramme die Bedrohung sofort erkennen können.
Bevor die eingeschleuste Schadsoftware ihre volle Funktionalität entfaltet, führt sie eine Analyse des Systems durch. Sie überprüft, ob sie in einer virtuellen Umgebung oder auf einem Computer mit aktiver Antivirensoftware läuft. Erkennt der Code Hinweise auf Sicherheitsmaßnahmen, bricht er die Ausführung ab oder verhält sich unauffällig, um eine Erkennung durch Analysten oder forensische Untersuchungen zu verhindern.
Ist die Umgebung für den Angriff geeignet, installiert sich die TorNet-Backdoor auf dem betroffenen System. Diese Malware-Komponente stellt eine verschlüsselte Verbindung zum TOR-Netzwerk her, wodurch die Angreifer anonym über das infizierte Gerät kommunizieren können. Sobald die Verbindung steht, erhalten sie die Möglichkeit, unbemerkt Befehle auszuführen, weitere Schadsoftware nachzuladen oder sensible Daten zu exfiltrieren. Die Kombination aus Tarnmechanismen und der Nutzung des TOR-Netzwerks macht die Nachverfolgung des Angriffs äußerst schwierig.
Wie bleiben die Angreifer unentdeckt?
Laut Cisco Talos setzen die Täter auf mehrere Tricks, um sich vor Entdeckung zu schützen:
- Sie trennen den Computer vor der Installation der Schadsoftware vom Netzwerk und stellen die Verbindung erst danach wieder her, um cloudbasierte Antivirenlösungen zu umgehen.
- Eine geplante Windows-Task sorgt dafür, dass die Malware auch nach einem Neustart aktiv bleibt – selbst auf Geräten mit niedrigem Akkustand.
- Die Backdoor kann weitere .NET-Anwendungen direkt im Arbeitsspeicher ausführen, wodurch klassische Antivirenprogramme sie schwerer erkennen können.
Diese Taktik erlaubt den Angreifern eine langfristige Kontrolle über die infizierten Systeme und erhöht das Risiko weiterer Angriffe.
Versteckter Text tarnt Phishing-Versuche
Talos hat in der zweiten Jahreshälfte 2024 einen Anstieg von E-Mail-Bedrohungen festgestellt, bei denen eine Technik namens „Hidden Text Salting“ eingesetzt wird. Diese Methode dient dazu, E-Mail-Filter zu umgehen und zu verhindern, dass automatische Erkennungssysteme verdächtige Markennamen oder Schlüsselwörter identifizieren. Dabei werden unsichtbare Zeichen in den HTML-Code einer E-Mail eingefügt, die für den Empfänger nicht sichtbar sind, aber die Analyse durch Spam-Filter und Erkennungssysteme erschweren.
Um solche Angriffe zu erkennen, empfehlen Experten den Einsatz fortschrittlicher Filtermechanismen, die versteckten Text anhand von CSS-Eigenschaften wie „visibility“ und „display“ aufspüren. Zudem kann eine visuelle Ähnlichkeitserkennung, beispielsweise mit der Pisco-Technologie, helfen, gefälschte Inhalte trotz Verschleierung zu identifizieren. Diese Maßnahmen könnten dazu beitragen, E-Mail-Sicherheitssysteme zu verbessern und gezielte Phishing-Angriffe effektiver abzuwehren.