Licenze multi-dispositivo (sconti per quantità)
Threat Database Malware DTPacker Malware

DTPacker Malware

Entro Mezo nel Malware
Traduci in:
Italiano

DTPacker è un malware piuttosto particolare, poiché contiene sia funzionalità di packer, sia funge da downloader. Una tale combinazione di metodi utilizzati per fornire carichi utili minacciosi nella fase successiva è piuttosto insolita, per non dire altro. Dopotutto, i packer hanno i dati del payload incorporati fin dall'inizio, mentre i downloader recuperano il payload da una risorsa online in cui è ospitato.

I dettagli sul malware sono stati resi pubblici in un rapporto dai ricercatori che hanno seguito la minaccia dal 2020. Da allora, DTPacker è stato osservato come parte di numerose operazioni di attacco per fornire un'ampia gamma di minacce di livello successivo , come infostealer ( Agent Tesla e FormBook ) e Trojan di accesso remoto o RAT ( Ave Maria e AsyncRAT ). DTPacker è stato anche implementato da diversi attori di minacce, inclusi TA2536 e TA2715 e persino gruppi APT (Advanced Persistent Threat).

Dettagli di DTPacker

La catena di attacco di DTPacker di solito inizia con la distribuzione di e-mail di esca che contengono un allegato armato. Il file allegato potrebbe essere un documento danneggiato o un eseguibile compresso. Quando le vittime tentano di interagire con il file, l'eseguibile packer verrà consegnato ai loro computer. DTPacker viene eseguito in due fasi ed è dotato di varie tecniche di offuscamento per evitare analisi, ambienti sandbox e prodotti di sicurezza anti-malware.

La prima fase delle azioni del malware include la decodifica di una risorsa incorporata o scaricata in una DLL. La seconda fase estrae quindi il carico utile dalla DLL e procede con l'esecuzione. La seconda fase utilizza una chiave fissa che inizialmente era "trump2020", ma le versioni successive l'hanno cambiata in una chiave ASCII fissa "Trump2026". Il nome del malware si basa su queste chiavi fisse.

Va inoltre notato che i siti Web esca sono stati progettati per apparire come pagine legittime del Liverpool FC e basate sui fan. DTPacker ha utilizzato questi siti Web come posizioni di download da cui sono stati recuperati i payload finali.

Tendenza

I più visti

Caricamento in corso...