תוכנה זדונית DTPacker

DTPacker הוא תוכנה זדונית מוזרה למדי, מכיוון שהיא מכילה גם פונקציונליות של packer, וגם פועלת בתור הורדה. שילוב כזה של שיטות מנוצלות כדי לספק מטענים מאיימים בשלב הבא הוא די יוצא דופן, בלשון המעטה. אחרי הכל, לאורזים יש את נתוני המטען מוטמעים בתוכם מההתחלה, בעוד שהמורידים מביאים את המטען ממשאב מקוון שבו הוא מתארח.

פרטים על התוכנה הזדונית פורסמו לציבור בדו"ח של החוקרים שעוקבים אחר האיום מאז 2020. בתקופה שחלפה מאז, DTPacker נצפתה כחלק מפעולות תקיפה רבות כדי לספק מגוון רחב של איומים בשלב הבא , כגון גנבי מידע ( Agent Tesla ו- FormBook ) ו-Remote Access Trojans או RATs ( Ave Maria ו- AsyncRAT ). DTPacker נפרס גם על ידי מספר גורמי איומים שונים, כולל TA2536 ו-TA2715 ואפילו קבוצות APT (Advanced Persistent Threat).

הפרטים של DTPacker

שרשרת התקפות DTPacker מתחילה בדרך כלל בהפצת מיילים לפיתיון הנושאים קובץ מצורף עם נשק. הקובץ המצורף יכול להיות מסמך פגום או קובץ הפעלה דחוס. כאשר הקורבנות מנסים ליצור אינטראקציה עם הקובץ, קובץ ההפעלה של הפוקר יימסר למחשביהם. DTPacker פועל בשני שלבים ומצויד בטכניקות ערפול שונות כדי להימנע מניתוח, סביבות ארגז חול ומוצרי אבטחה נגד תוכנות זדוניות.

השלב הראשון של פעולות התוכנה הזדונית כולל פענוח של משאב מוטבע או הורדה ל-DLL. השלב השני מחלץ את המטען מה-DLL וממשיך לביצועו. השלב השני משתמש במפתח קבוע שבהתחלה היה 'trump2020' אך גרסאות מאוחרות יותר החליפו אותו למפתח ASCII קבוע 'Trump2026'. שם התוכנה הזדונית מבוסס על מפתחות קבועים אלה.

כמו כן, יש לציין שאתרי ההטעיה נועדו להופיע כדפים לגיטימיים של Liverpool FC וכדפים מבוססי אוהדים. DTPacker השתמש באתרים אלה בתור מיקומי ההורדה שמהם הובאו המטענים הסופיים.