Une nouvelle vague de cyberattaques cible principalement les utilisateurs en Pologne et en Allemagne, exploitant des malwares sophistiqués comme Agent Tesla et une porte dérobée inédite appelée TorNet. Ces attaques, confirmées par des chercheurs en cybersécurité, utilisent une méthode de phishing avancée pour échapper aux outils de détection des antivirus et mettre en danger les systèmes Windows. Que savons-nous de cette campagne qui inquiète la sécurité informatique en Europe ?
Phishing : une campagne massive visant les utilisateurs en Pologne et en Allemagne
Une méthode trompeuse via les emails frauduleux
Depuis juillet 2024, une campagne de phishing avancée cible les utilisateurs en Pologne et en Allemagne. Les cybercriminels se font passer pour des institutions financières ou des entreprises de logistique, envoyant des emails contenant des pièces jointes malveillantes. Ces fichiers, souvent au format « .tgz », contiennent une charge cryptée conçue pour passer sous les radars des solutions antivirus. Une fois extrait, le fichier exécute un chargeur en .NET capable de télécharger et d’exécuter un malware directement en mémoire.
Le rôle de PureCrypter dans cette campagne
Le malware connu sous le nom de PureCrypter joue un rôle clé dans cette chaîne d’infection. Il permet le déploiement de plusieurs charges utiles, y compris des outils d’espionnage comme Agent Tesla et Snake Keylogger. Mais l’élément le plus inquiétant reste la porte dérobée inédite TorNet.
TorNet : une porte dérobée hautement sophistiquée
Un malware exploitant le réseau d’anonymat TOR
Ce qui rend TorNet si dangereux, c’est sa capacité à utiliser le réseau d’anonymat TOR pour communiquer secrètement avec le serveur de contrôle des attaquants. Cette technologie permet aux hackers d’exploiter les failles des systèmes infectés sans être détectés. TorNet est capable de recevoir et d’exécuter des commandes téléchargées depuis le serveur C2 (Commande et Contrôle), ce qui élargit considérablement les possibilités d’exploitation post-infection.
Des techniques avancées pour contourner les solutions de sécurité
Les chercheurs de Cisco Talos ont identifié une série de techniques déployées par les attaquants pour éviter d’être détectés. Par exemple, ces derniers déconnectent temporairement la machine de la victime du réseau avant de charger leurs malwares. Une fois le chargement terminé, ils reconnectent la machine, contournant ainsi les solutions d’antivirus basées sur le cloud. Ils utilisent aussi des méthodes telles que les vérifications anti-débogage, anti-VM et anti-analyse pour voler sous le radar des analystes en cybersécurité.
Des techniques innovantes pour contourner les filtres email
L’utilisation du salage de texte caché
Les attaquants semblent également avoir recours au salage de texte caché, une technique ingénieuse qui insère des caractères invisibles dans le code HTML des emails. Cela perturbe les filtres anti-spam et les moteurs de détection basés sur les mots clés. Selon le chercheur en sécurité Omid Mirzaei, cette méthode représente un défi majeur pour les solutions actuelles de détection par intelligence artificielle et parsage d’emails.
Comment se protéger face à ces nouvelles menaces ?
Pour contrer ces attaques de plus en plus complexes, il est recommandé d’améliorer les techniques de détection en développant des filtres capables de repérer non seulement les contenus cachés, mais aussi les failles dans les CSS, comme les propriétés « visibility » ou « display ». Une méthode appelée détection par similitudes visuelles, également connue sous le nom de « Pisco », pourrait renforcer les capacités des entreprises à repérer et bloquer ce type de menaces à temps.
Les cyberattaques et les malwares tels que TorNet rappellent l’importance de se munir de solutions en cybersécurité performantes. Chez CyberCare, nos services sont conçus pour aider les entreprises à se prémunir contre les menaces sophistiquées grâce à des outils de détection avancés et une surveillance proactive.
