DTPacker skadelig programvare

DTPacker er en ganske særegen skadelig programvare, siden den inneholder både pakkefunksjonalitet og fungerer som en nedlaster. En slik kombinasjon av brukte metoder for å levere truende nyttelast i neste trinn er ganske uvanlig, for å si det mildt. Tross alt har pakkere nyttelastdataene innebygd i seg fra starten, mens nedlastere henter nyttelasten fra en nettbasert ressurs der den er vert.

Detaljer om skadelig programvare ble offentliggjort i en rapport fra forskerne som har fulgt trusselen siden 2020. I tiden siden da har DTPacker blitt observert som en del av en rekke angrepsoperasjoner for å levere et bredt spekter av trusler i neste trinn , for eksempel infostelere ( Agent Tesla og FormBook ) og fjerntilgangstrojanere eller RAT-er ( Ave Maria og AsyncRAT ). DTPacker har også blitt distribuert av flere forskjellige trusselaktører, inkludert TA2536 og TA2715 og til og med APT (Advanced Persistent Threat) grupper.

DTPackers detaljer

DTPacker-angrepskjeden begynner vanligvis med distribusjon av agn-e-poster som har et våpenvedlegg. Den vedlagte filen kan være et ødelagt dokument eller en komprimert kjørbar fil. Når ofrene prøver å samhandle med filen, vil pakkeprogrammet bli levert til datamaskinene deres. DTPacker kjører i to trinn og er utstyrt med ulike tilsløringsteknikker for å unngå analyser, sandkassemiljøer og sikkerhetsprodukter mot skadelig programvare.

Den første fasen av skadelig programvare inkluderer dekoding av en innebygd eller nedlastet ressurs til en DLL. Det andre trinnet trekker deretter ut nyttelasten fra DLL-en og fortsetter med å kjøre den. Det andre trinnet bruker en fast nøkkel som opprinnelig var 'trump2020', men senere versjoner byttet den til en fast ASCII-nøkkel 'Trump2026.' Navnet på skadelig programvare er basert på disse faste nøklene.

Det bør også bemerkes at lokkenettsidene ble designet for å fremstå som legitime Liverpool FC og fan-baserte sider. DTPacker brukte disse nettstedene som nedlastingssteder der de endelige nyttelastene ble hentet.