DTPacker 악성코드

DTPacker는 패커 기능과 다운로더 역할을 모두 포함하는 다소 독특한 맬웨어입니다. 다음 단계의 위협적인 페이로드를 전달하기 위해 활용된 방법의 이러한 조합은 말할 것도 없이 매우 이례적입니다. 결국 패커는 처음부터 페이로드 데이터가 내장된 반면 다운로더는 호스팅되는 온라인 리소스에서 페이로드를 가져옵니다.

맬웨어에 대한 세부 정보는 2020년부터 위협을 추적해 온 연구원의 보고서를 통해 일반에 공개되었습니다. 그 이후로 DTPacker는 다양한 차세대 위협을 전달하기 위한 수많은 공격 작업의 일부로 관찰되었습니다. , infostealer( Agent Tesla 및 FormBook ) 및 원격 액세스 트로이 목마 또는 RAT( Ave Maria 및 AsyncRAT ). DTPacker는 또한 TA2536 및 TA2715, 심지어 APT(Advanced Persistent Threat) 그룹을 비롯한 여러 위협 행위자에 의해 배포되었습니다.

DTPacker의 세부 정보

DTPacker 공격 체인은 일반적으로 무기화된 첨부 파일을 포함하는 미끼 이메일의 배포로 시작됩니다. 첨부 파일은 손상된 문서이거나 압축된 실행 파일일 수 있습니다. 피해자가 파일과 상호 작용을 시도하면 패커 실행 파일이 컴퓨터로 전달됩니다. DTPacker는 2단계로 실행되며 분석, 샌드박스 환경 및 맬웨어 방지 보안 제품을 피하기 위한 다양한 난독화 기술을 갖추고 있습니다.

맬웨어 작업의 첫 번째 단계에는 포함되거나 다운로드된 리소스를 DLL로 디코딩하는 작업이 포함됩니다. 두 번째 단계는 DLL에서 페이로드를 추출하고 실행을 진행합니다. 두 번째 단계는 초기에 'trump2020'이었던 고정 키를 사용하지만 이후 버전에서는 고정 ASCII 키 'Trump2026'으로 전환했습니다. 맬웨어의 이름은 이러한 고정 키를 기반으로 합니다.

또한 미끼 웹사이트는 합법적인 리버풀 FC 및 팬 기반 페이지로 나타나도록 설계되었습니다. DTPacker는 이 웹사이트를 최종 페이로드를 가져온 다운로드 위치로 사용했습니다.