Malware DTPacker

DTPacker je poměrně zvláštní malware, protože obsahuje jak funkci baliče, tak funguje jako downloader. Taková kombinace používaných metod k dodání nebezpečného užitečného zatížení v další fázi je přinejmenším poměrně neobvyklá. Koneckonců, baliči mají data o užitečné zátěži vložená od začátku, zatímco stahovači načítají datovou část z online zdroje, kde je hostována.

Podrobnosti o malwaru byly zveřejněny ve zprávě výzkumníků, kteří hrozbu sledují od roku 2020. Od té doby byl DTPacker pozorován jako součást četných útočných operací, které přinesly širokou škálu hrozeb příští fáze. , jako jsou infostealers ( Agent Tesla a FormBook ) a Remote Access Trojans nebo RAT ( Ave Maria a AsyncRAT ). DTPacker také nasadilo několik různých aktérů hrozeb, včetně TA2536 a TA2715 a dokonce skupiny APT (Advanced Persistent Threat).

Podrobnosti o DTPackeru

Útočný řetězec DTPacker obvykle začíná distribucí e-mailů s návnadou, které nesou přílohu se zbraní. Přiložený soubor může být poškozený dokument nebo komprimovaný spustitelný soubor. Když se oběti pokusí interagovat se souborem, bude do jejich počítačů doručen spustitelný soubor baliče. DTPacker běží ve dvou fázích a je vybaven různými technikami zmatku, aby se zabránilo analýze, prostředí sandbox a produktům pro zabezpečení proti malwaru.

První fáze akcí malwaru zahrnuje dekódování vloženého nebo staženého zdroje do knihovny DLL. Druhá fáze pak extrahuje datovou část z DLL a pokračuje v jejím spuštění. Druhá fáze používá pevný klíč, který byl původně 'trump2020', ale pozdější verze jej přepnuly na pevný ASCII klíč 'Trump2026'. Název malwaru je založen na těchto pevných klíčích.

Je třeba také poznamenat, že návnady byly navrženy tak, aby se jevily jako legitimní stránky FC Liverpool a fanouškovské stránky. DTPacker používal tyto webové stránky jako místa pro stahování, odkud byly staženy konečné užitečné zatížení.