DTPacker Malware

DTPacker एक अजीबोगरीब मैलवेयर है, क्योंकि इसमें पैकर कार्यक्षमता दोनों शामिल हैं, साथ ही एक डाउनलोडर के रूप में भी कार्य करता है। कम से कम कहने के लिए, अगले चरण के खतरनाक पेलोड को वितरित करने के लिए उपयोग की जाने वाली विधियों का ऐसा संयोजन काफी असामान्य है। आखिरकार, पैकर्स के पास शुरू से ही पेलोड डेटा होता है, जबकि डाउनलोडर पेलोड को एक ऑनलाइन संसाधन से प्राप्त करते हैं जहां इसे होस्ट किया जाता है।

2020 से खतरे का पालन कर रहे शोधकर्ताओं द्वारा एक रिपोर्ट में मैलवेयर के बारे में विवरण जनता के लिए जारी किया गया था। तब से, DTPacker को कई हमले के संचालन के हिस्से के रूप में देखा गया है ताकि अगले चरण के खतरों की एक विस्तृत श्रृंखला प्रदान की जा सके। , जैसे इन्फोस्टीलर्स ( Agent Tesla और FormBook ) और रिमोट एक्सेस ट्रोजन या आरएटी ( Ave Maria और AsyncRAT )। DTPacker को कई अलग-अलग खतरे वाले अभिनेताओं द्वारा भी तैनात किया गया है, जिनमें TA2536 और TA2715 और यहां तक कि APT (एडवांस्ड पर्सिस्टेंट थ्रेट) समूह भी शामिल हैं।

DTPacker का विवरण

DTPacker अटैक चेन आमतौर पर बैट ईमेल के वितरण के साथ शुरू होती है जिसमें हथियारयुक्त अटैचमेंट होता है। संलग्न फ़ाइल दूषित दस्तावेज़ या संपीड़ित निष्पादन योग्य हो सकती है। जब पीड़ित फ़ाइल के साथ इंटरैक्ट करने का प्रयास करते हैं, तो पैकर निष्पादन योग्य उनके कंप्यूटर पर डिलीवर हो जाएगा। डीटीपैकर दो चरणों में चलता है और विश्लेषण, सैंडबॉक्स वातावरण और एंटी-मैलवेयर सुरक्षा उत्पादों से बचने के लिए विभिन्न ऑबफस्केशन तकनीकों से लैस है।

मैलवेयर के कार्यों के पहले चरण में एक एम्बेडेड या डाउनलोड किए गए संसाधन को डीएलएल में डिकोड करना शामिल है। दूसरा चरण फिर डीएलएल से पेलोड निकालता है और इसे निष्पादित करने के लिए आगे बढ़ता है। दूसरा चरण एक निश्चित कुंजी का उपयोग करता है जो शुरू में 'trump2020' थी लेकिन बाद के संस्करणों ने इसे एक निश्चित ASCII कुंजी 'Trump2026' में बदल दिया। मालवेयर का नाम इन्हीं फिक्स कीज पर आधारित होता है।

यह भी ध्यान दिया जाना चाहिए कि नकली वेबसाइटों को वैध लिवरपूल एफसी और प्रशंसक-आधारित पृष्ठों के रूप में प्रदर्शित करने के लिए डिज़ाइन किया गया था। DTPacker ने इन वेबसाइटों को डाउनलोड स्थानों के रूप में इस्तेमाल किया जहां से अंतिम पेलोड प्राप्त किए गए थे।