Zlonamerna programska oprema DTPacker

DTPacker je precej nenavadna zlonamerna programska oprema, saj vsebuje tako funkcionalnost pakiranja, kot tudi deluje kot prenosnik. Takšna kombinacija uporabljenih metod za dostavo nevarnih tovorov v naslednji fazi je najmanj nenavadna. Navsezadnje imajo pakirniki podatke o tovoru vdelane v njih že od začetka, medtem ko prenašalci pridobijo koristne podatke iz spletnega vira, kjer gostujejo.

Podrobnosti o zlonamerni programski opremi so javnosti objavili v poročilu raziskovalcev, ki so grožnjo spremljali od leta 2020. V času od takrat je bil DTPacker opažen kot del številnih napadov za zagotavljanje širokega spektra groženj naslednje stopnje. , kot so infokradniki ( Agent Tesla in FormBook ) in trojanci za oddaljeni dostop ali RAT ( Ave Maria in AsyncRAT ). DTPacker je namestilo tudi več različnih akterjev grožnje, vključno s skupinami TA2536 in TA2715 ter celo skupinami APT (Advanced Persistent Threat).

Podrobnosti o DTPackerju

Napadna veriga DTPacker se običajno začne z distribucijo e-poštnih sporočil z vabo, ki nosijo orožno prilogo. Priložena datoteka je lahko poškodovan dokument ali stisnjena izvedljiva datoteka. Ko žrtve poskušajo komunicirati z datoteko, bo izvedljiva datoteka za pakiranje dostavljena v njihove računalnike. DTPacker deluje v dveh fazah in je opremljen z različnimi tehnikami zakrivanja, da se izogne analizam, okoljem peskovnika in varnostnim izdelkom proti zlonamerni programski opremi.

Prva faza dejanj zlonamerne programske opreme vključuje dekodiranje vdelanega ali prenesenega vira v DLL. Druga faza nato ekstrahira koristno obremenitev iz DLL-ja in jo nadaljuje z izvajanjem. Druga stopnja uporablja fiksni ključ, ki je bil sprva 'trump2020', vendar so ga poznejše različice preklopile na fiksni ključ ASCII 'Trump2026'. Ime zlonamerne programske opreme temelji na teh fiksnih ključih.

Prav tako je treba opozoriti, da so bila spletna mesta za vabe zasnovana tako, da se pojavljajo kot zakonite strani Liverpool FC in strani navijačev. DTPacker je ta spletna mesta uporabil kot lokacije za prenos, od koder so bili pridobljeni končni koristni podatki.