Вредоносное ПО DTPacker
DTPacker — довольно своеобразное вредоносное ПО, так как содержит в себе как функции упаковщика, так и выступает в роли загрузчика. Такое сочетание используемых методов доставки опасных полезных нагрузок следующей ступени, мягко говоря, довольно необычно. В конце концов, у упаковщиков данные полезной нагрузки встроены в них с самого начала, а загрузчики извлекают полезную нагрузку из онлайн-ресурса, на котором она размещена.
Подробности о вредоносном ПО были обнародованы в отчете исследователей, которые следили за угрозой с 2020 года. С тех пор DTPacker был замечен как часть многочисленных атак для доставки широкого спектра угроз следующего этапа. , такие как кражи информации ( Agent Tesla и FormBook ) и трояны удаленного доступа или RAT ( Ave Maria и AsyncRAT ). DTPacker также был развернут несколькими различными субъектами угроз, включая TA2536 и TA2715 и даже группы APT (Advanced Persistent Threat).
Детали DTPacker
Цепочка атак DTPacker обычно начинается с рассылки электронных писем-приманок, содержащих вложения с оружием. Вложенный файл может быть поврежденным документом или сжатым исполняемым файлом. Когда жертвы попытаются взаимодействовать с файлом, исполняемый файл упаковщика будет доставлен на их компьютеры. DTPacker работает в два этапа и оснащен различными методами запутывания, позволяющими избежать анализа, изолированных сред и продуктов для защиты от вредоносных программ.
Первый этап действий вредоносной программы включает в себя декодирование внедренного или скачанного ресурса в DLL. Затем второй этап извлекает полезную нагрузку из DLL и приступает к ее выполнению. На втором этапе используется фиксированный ключ, который изначально был «trump2020», но в более поздних версиях он был заменен фиксированным ключом ASCII «Trump2026». Название вредоносной программы основано на этих фиксированных ключах.
Также следует отметить, что веб-сайты-приманки были разработаны так, чтобы выглядеть как законные страницы футбольного клуба «Ливерпуль» и фан-страницы. DTPacker использовал эти веб-сайты в качестве мест загрузки, откуда были получены окончательные полезные данные.
