DTPacker-malware
DTPacker is een nogal eigenaardige malware, omdat het zowel packer-functionaliteit bevat als fungeert als een downloader. Een dergelijke combinatie van gebruikte methoden om gevaarlijke payloads in de volgende fase te leveren, is op zijn zachtst gezegd vrij ongebruikelijk. Packers hebben de payload-gegevens immers vanaf het begin ingebed, terwijl downloaders de payload ophalen van een online bron waar deze wordt gehost.
Details over de malware zijn openbaar gemaakt in een rapport van de onderzoekers die de dreiging sinds 2020 volgen. Sindsdien is DTPacker waargenomen als onderdeel van talloze aanvalsoperaties om een breed scala aan next-stage dreigingen af te leveren. , zoals infostealers ( Agent Tesla en FormBook ) en Remote Access Trojans of RAT's ( Ave Maria en AsyncRAT ). DTPacker is ook ingezet door verschillende bedreigingsactoren, waaronder TA2536 en TA2715 en zelfs APT-groepen (Advanced Persistent Threat).
Details van DTPacker
De aanvalsketen van DTPacker begint meestal met de verspreiding van lokaas-e-mails met een bewapende bijlage. Het bijgevoegde bestand kan een beschadigd document of een gecomprimeerd uitvoerbaar bestand zijn. Wanneer de slachtoffers proberen te communiceren met het bestand, wordt het uitvoerbare bestand van de packer op hun computers afgeleverd. DTPacker werkt in twee fasen en is uitgerust met verschillende verduisteringstechnieken om analyse, sandbox-omgevingen en anti-malware beveiligingsproducten te vermijden.
De eerste fase van de acties van de malware omvat het decoderen van een ingebedde of gedownloade bron in een DLL. De tweede fase extraheert vervolgens de payload uit de DLL en voert deze uit. De tweede trap gebruikt een vaste sleutel die aanvankelijk 'trump2020' was, maar latere versies schakelden deze over naar een vaste ASCII-sleutel 'Trump2026'. De naam van de malware is gebaseerd op deze vaste sleutels.
Er moet ook worden opgemerkt dat de lokwebsites zijn ontworpen om te verschijnen als legitieme Liverpool FC en op fans gebaseerde pagina's. DTPacker gebruikte deze websites als downloadlocaties van waaruit de uiteindelijke payloads werden opgehaald.
