DTPacker Malware

DTPacker jest dość osobliwym złośliwym oprogramowaniem, ponieważ zawiera zarówno funkcjonalność pakera, jak i działa jako downloader. Taka kombinacja stosowanych metod dostarczania zagrażających ładunków następnego etapu jest, delikatnie mówiąc, dość niezwykła. W końcu pakery mają wbudowane dane ładunku od samego początku, podczas gdy programy pobierające pobierają ładunek z zasobu online, w którym jest hostowany.

Szczegółowe informacje na temat szkodliwego oprogramowania zostały podane do publicznej wiadomości w raporcie badaczy, którzy śledzą zagrożenie od 2020 roku. Od tego czasu DTPacker był obserwowany w ramach wielu operacji ataku w celu dostarczenia szerokiej gamy zagrożeń następnego etapu , takie jak złodzieje informacji ( Agent Tesla i FormBook ) oraz trojany zdalnego dostępu lub RAT ( Ave Maria i AsyncRAT ). DTPacker został również wdrożony przez kilka różnych cyberprzestępców, w tym TA2536 i TA2715, a nawet grupy APT (Advanced Persistent Threat).

Szczegóły DTPacker

Łańcuch ataków DTPacker zwykle zaczyna się od dystrybucji wiadomości e-mail z przynętami, które zawierają uzbrojony załącznik. Załączony plik może być uszkodzonym dokumentem lub skompresowanym plikiem wykonywalnym. Kiedy ofiary próbują wejść w interakcję z plikiem, plik wykonywalny pakera zostanie dostarczony na ich komputery. DTPacker działa dwuetapowo i jest wyposażony w różne techniki maskowania, aby uniknąć analizy, środowisk piaskownicy i produktów zabezpieczających przed złośliwym oprogramowaniem.

Pierwszy etap działania szkodliwego oprogramowania obejmuje dekodowanie osadzonego lub pobranego zasobu do biblioteki DLL. Drugi etap następnie wyodrębnia ładunek z biblioteki DLL i przystępuje do jego wykonania. Drugi etap wykorzystuje stały klucz, którym początkowo był „Trump2020”, ale późniejsze wersje zmieniły go na stały klucz ASCII „Trump2026”. Nazwa złośliwego oprogramowania jest oparta na tych naprawionych kluczach.

Należy również zauważyć, że wabiące strony internetowe zostały zaprojektowane tak, aby pojawiały się jako legalne strony Liverpool FC i strony fanów. DTPacker używał tych witryn jako lokalizacji pobierania, z których pobierano ostateczne ładunki.