DTPacker البرامج الضارة
يعد DTPacker برنامجًا ضارًا غريبًا إلى حد ما ، حيث يحتوي على كل من وظائف الحزم ، بالإضافة إلى أنه يعمل بمثابة أداة تنزيل. مثل هذا المزيج من الأساليب المستخدمة لتسليم حمولات مهددة في المرحلة التالية أمر غير معتاد تمامًا ، على أقل تقدير. بعد كل شيء ، تحتوي برامج الحزم على بيانات الحمولة المضمنة فيها من البداية ، بينما يقوم القائمون بالتنزيل بجلب الحمولة من مورد عبر الإنترنت حيث يتم استضافتها.
تم الكشف عن تفاصيل حول البرنامج الضار للجمهور في تقرير صادر عن الباحثين الذين يتابعون التهديد منذ عام 2020. في ذلك الوقت منذ ذلك الحين ، تمت ملاحظة DTPacker كجزء من العديد من عمليات الهجوم لتقديم مجموعة واسعة من تهديدات المرحلة التالية ، مثل المختبرين ( وكيل Tesla و FormBook ) وأحصنة طروادة للوصول عن بُعد أو RATs ( Ave Maria و AsyncRAT ). تم نشر DTPacker أيضًا من قبل العديد من الجهات الفاعلة المختلفة للتهديد ، بما في ذلك TA2536 و TA2715 وحتى مجموعات APT (التهديد المستمر المتقدم).
تفاصيل DTPacker
تبدأ سلسلة هجوم DTPacker عادةً بتوزيع رسائل البريد الإلكتروني التي تحتوي على طُعم والتي تحمل ملحقًا مسلحًا. قد يكون الملف المرفق مستندًا تالفًا أو ملفًا تنفيذيًا مضغوطًا. عندما يحاول الضحايا التفاعل مع الملف ، سيتم تسليم ملف الحزم القابل للتنفيذ إلى أجهزة الكمبيوتر الخاصة بهم. يعمل DTPacker على مرحلتين ومجهز بتقنيات إخفاء مختلفة لتجنب التحليل وبيئات الحماية ومنتجات الحماية من البرامج الضارة.
تتضمن المرحلة الأولى من إجراءات البرامج الضارة فك تشفير مورد مضمن أو تم تنزيله إلى ملف DLL. تقوم المرحلة الثانية بعد ذلك باستخراج الحمولة من DLL وتتابع تنفيذها. تستخدم المرحلة الثانية مفتاحًا ثابتًا كان في البداية "trump2020" ولكن الإصدارات اللاحقة حولته إلى مفتاح ASCII ثابت "Trump2026". يعتمد اسم البرنامج الضار على هذه المفاتيح الثابتة.
وتجدر الإشارة أيضًا إلى أن مواقع الويب الخادعة قد تم تصميمها لتظهر كصفحات شرعية لنادي ليفربول لكرة القدم وصفحات تعتمد على المعجبين. استخدم DTPacker هذه المواقع كمواقع التنزيل من حيث تم جلب الحمولات النهائية.
