TorNet: cómo las herramientas de privacidad ordinarias de repente se convirtieron en armas cibernéticas

TorNet: cómo las herramientas de privacidad ordinarias de repente se convirtieron en armas cibernéticas

Una red invisible de nodos ha enredado a miles de dispositivos en todo el mundo.

image

Desde julio de 2024, los atacantes han estado llevando a cabo una activa campaña de phishing dirigida a usuarios en Polonia y Alemania. Los ataques son organizados por un grupo motivado financieramente que utiliza el malware Agent Tesla, Snake Keylogger y el recientemente descubierto backdoor TorNet, distribuido a través del cargador PureCrypter.

TorNet recibió su nombre debido a su capacidad para conectar dispositivos infectados a la red de anonimización TOR, proporcionando a los atacantes un canal de comunicación oculto. Según los datos de los analistas de Cisco Talos, los delincuentes utilizan el programador de tareas de Windows para garantizar el funcionamiento continuo del malware, incluso en dispositivos con un nivel bajo de batería. Para evadir los sistemas antivirus, los atacantes desconectan temporalmente las máquinas infectadas de la red antes de ejecutar el código malicioso y luego restablecen la conexión.

El principal método de ataque sigue siendo el envío de correos electrónicos de phishing con falsos comprobantes de transferencias de dinero o pedidos. Los delincuentes se hacen pasar por empleados de organizaciones financieras, empresas manufactureras y de logística. Los archivos adjuntos en estos correos tienen la extensión «.tgz», lo que ayuda a evadir los sistemas de detección.

Al abrir el archivo, se ejecuta un cargador basado en .NET que activa PureCrypter directamente en la memoria RAM. Esta herramienta maliciosa verifica el dispositivo en busca de antivirus, depuradores y máquinas virtuales, y solo después de esto activa TorNet. Este último establece una conexión con el servidor de control, transmite comandos y puede cargar módulos adicionales en la memoria del dispositivo infectado, aumentando significativamente el potencial para ataques futuros.

Los investigadores de Cisco Talos señalan que este nuevo malware representa una amenaza seria, ya que combina potentes herramientas de sigilo, anonimización y capacidad para realizar ataques posteriores. El fortalecimiento integral de la ciberseguridad es una medida necesaria para protegerse contra amenazas de múltiples niveles como esta.

¿Tu Wi-Fi doméstico es una fortaleza o una casa de cartón?

Descubre cómo construir una muralla impenetrable