Un grupo de ciberdelincuentes con motivaciones financieras ha sido vinculado a una campaña de phishing activa desde al menos julio de 2024, con un enfoque en usuarios de Alemania y Polonia. Esta operación ha llevado al despliegue de diversas cargas maliciosas, incluyendo el spyware Agent Tesla, el keylogger Snake y un nuevo backdoor denominado TorNet, distribuido a través del malware PureCrypter.
TorNet: una amenaza sigilosa con comunicación a través de TOR
TorNet recibe su nombre debido a su capacidad de establecer comunicación con los sistemas infectados a través de la red anónima TOR, lo que complica su detección y rastreo. Según el investigador de Cisco Talos, Chetan Raghuprasad, “el actor ejecuta una tarea programada en las máquinas víctimas, incluyendo aquellas con batería baja, para mantener la persistencia”.
Además, se ha observado que los atacantes desconectan los dispositivos de la red antes de desplegar la carga maliciosa, reconectándolos posteriormente para evadir las soluciones de seguridad en la nube.
El phishing como vector de ataque inicial
La campaña comienza con correos electrónicos fraudulentos disfrazados de confirmaciones de transferencias de dinero o recibos de pedidos, simulando ser comunicaciones de entidades financieras y empresas de manufactura y logística. Estos mensajes incluyen archivos adjuntos con la extensión “.tgz”, una técnica destinada a evadir detecciones.
Al abrir y extraer estos archivos comprimidos, se ejecuta un cargador .NET que descarga y ejecuta PureCrypter directamente en la memoria del sistema afectado. Luego, PureCrypter lanza el backdoor TorNet tras realizar una serie de verificaciones anti-depuración, anti-análisis, anti-VM y anti-malware, asegurando su sigilo.
Capacidades avanzadas del backdoor TorNet
El backdoor TorNet establece conexión con un servidor de comando y control (C2) y vincula el dispositivo comprometido a la red TOR. Su funcionalidad incluye la capacidad de recibir y ejecutar ensamblados .NET arbitrarios en la memoria del sistema, ampliando la superficie de ataque y facilitando futuras intrusiones.
Tendencias emergentes en amenazas de correo electrónico
Este ataque se suma a una creciente ola de amenazas por correo electrónico que han evolucionado con nuevas técnicas de evasión. Recientes investigaciones han identificado un aumento en el uso de “hidden text salting”, un método que introduce caracteres invisibles en el código HTML del correo para eludir filtros de spam y motores de detección basados en palabras clave.
Estrategias de defensa recomendadas
Para mitigar este tipo de ataques, los expertos en ciberseguridad recomiendan:
- Implementar filtros avanzados que detecten “hidden text salting” y ocultación de contenido.
- Identificar el uso de propiedades CSS como “visibility” y “display” en correos sospechosos.
- Adoptar herramientas de detección visual avanzada, como Pisco, para mejorar la identificación de amenazas.
La sofisticación creciente de los ataques de phishing subraya la importancia de reforzar la seguridad del correo electrónico y concienciar a los usuarios sobre las técnicas utilizadas por los ciberdelincuentes para engañarlos y comprometer sus sistemas.
