یک عامل تهدید با انگیزه مالی به یک کمپین ایمیل فیشینگ در حال انجام مرتبط است که حداقل از ژوئیه 2024 به طور خاص کاربران لهستان و آلمان را هدف قرار داده است.
این حملات منجر به استقرار پیلودهای مختلف مانند Agent Tesla، Snake Keylogger و دربپشتی TorNet شده است که با استفاده از PureCrypter ارائه میشود. TorNet به این دلیل نامگذاری شده است که به عامل تهدید اجازه میدهد تا از طریق شبکه ناشناس TOR با دستگاه قربانی ارتباط برقرار کند. محقق Cisco Talos، در تحلیلی گفت: این عامل تهدید تسک برنامهریزیشده ویندوز را روی دستگاههای قربانی از جمله در نقاط انتهایی با باتری کم – برای دستیابی به پایداری اجرا میکند.
همچنین قبل از دراپ کردن پیلود، دستگاه قربانی را از شبکه جدا و سپس آن را به شبکه وصل میکند تا از شناسایی توسط راهحلهای ضد بدافزار ابری فرار کنند. نقطه شروع این حملات، ایمیل فیشینگ حاوی تاییدیههای انتقال پول جعلی یا رسیدهای سفارش است و عامل تهدید در قالب موسسات مالی و شرکتهای تولیدی و لجستیکی ظاهر میشود. گفتنی است که به این ایمیلها فایلهایی با پسوند “tgz.” پیوست شدهاند که احتمالاً تلاشی برای فرار از شناسایی است.
https://thehackernews.com/2025/01/purecrypter-deploys-agent-tesla-and-new.html
