Licenças para vários dispositivos (descontos por volume)
Threat Database Malware DTPacker Malware

DTPacker Malware

Por Mezo em Malware
Traduzir Para:
Português

O DTPacker é um malware bastante peculiar, pois contém a funcionalidade de empacotador, além de atuar como um downloader. Essa combinação de métodos utilizados para entregar cargas ameaçadoras no próximo estágio é bastante incomum, para dizer o mínimo. Afinal, os empacotadores têm os dados de carga incorporados desde o início, enquanto os downloaders buscam a carga de um recurso on-line onde ela está hospedada.

Detalhes sobre o malware foram divulgados ao público em um relatório dos pesquisadores que acompanham a ameaça desde 2020. Desde então, o DTPacker foi observado como parte de várias operações de ataque para fornecer uma ampla gama de ameaças de próximo estágio, tais como infostealers (Agente Tesla e FormBook) e Trojans de Acesso Remoto ou RATs (Ave Maria e AsyncRAT). O DTPacker também foi implantado por vários agentes de ameaças diferentes, incluindo TA2536 e TA2715 e até mesmo grupos APT (Advanced Persistent Threat).

Detalhes sobre o DTPacker

A cadeia de ataque do DTPacker geralmente começa com a distribuição de e-mails de isca que carregam um anexo armado. O arquivo anexado pode ser um documento corrompido ou um executável compactado. Quando as vítimas tentarem interagir com o arquivo, o executável do empacotador será entregue em seus computadores. O DTPacker é executado em dois estágios e está equipado com várias técnicas de ofuscação para evitar análises, ambientes de sandbox e produtos de segurança anti-malware.

O primeiro estágio das ações do malware inclui a decodificação de um recurso incorporado ou baixado em uma DLL. O segundo estágio extrai a carga útil da DLL e prossegue para executá-la. O segundo estágio usa uma chave fixa que inicialmente era 'trump2020', mas versões posteriores mudaram para uma chave ASCII fixa 'Trump2026'. O nome do malware é baseado nessas chaves fixas.

Também deve-se notar que os sites de chamariz foram projetados para aparecer como páginas legítimas do Liverpool FC e baseadas em fãs. O DTPacker usou esses sites como locais de download de onde as cargas finais foram buscadas.

Tendendo

Mais visto

Carregando...