Une nouvelle campagne de phishing cible les utilisateurs en Pologne et en Allemagne

Lucas Morel

Tornet relie les machines infectées au réseau TOR pour la commande et l’évasion des communications et de la détection de commande (C2).

Une campagne de phishing en cours, vraisemblablement par un acteur avancé de menace persistante (APT), est vue en abandonnant une nouvelle porte dérobée sur les systèmes de victimes permettant des opérations furtives C2.

La porte dérobée, que l’unité de renseignement Talos de Cisco suit comme tornet, a été trouvée reliant les machines de victime au réseau Tor décentralisé et anonymisant pour C2 Communications.

« Cisco Talos a découvert une campagne malveillante en cours exploitée par un acteur de menace à motivation financière depuis juillet 2024 ciblant les utilisateurs, principalement en Pologne et en Allemagne, sur la base du langage des e-mails de phishing », ont déclaré les chercheurs de Talos dans un article de blog.

«L’acteur exécute une tâche programmée Windows sur les machines des victimes, y compris sur les points de terminaison avec une batterie faible – pour obtenir de la persistance», a déclaré les chercheurs de Talos.

De plus, l’attaquant déconnecte la machine de la victime du réseau juste avant de livrer les logiciels malveillants, le reprenant une fois la goutte terminée. Ceci est fait pour éviter la détection par les programmes antivirus basés sur le cloud. En plus de cela, le malware purecrypter lui-même effectue divers vérifications anti-débogueur, anti-analyse, anti-VM et anti-malware sur la machine victime, ont ajouté des chercheurs.

Il est important de noter que les chercheurs ont également trouvé des échantillons de courrier électronique écrits en anglais, ce qui indique le potentiel de la campagne à utiliser en dehors de ces géographies.