DTPacker Malware
DTPacker, hem paketleyici hem de indirici işlevi gördüğü için oldukça tuhaf bir kötü amaçlı yazılımdır. Bir sonraki aşama tehdit edici yükleri teslim etmek için kullanılan yöntemlerin böyle bir kombinasyonu, en azından söylemek gerekirse, oldukça sıra dışıdır. Ne de olsa, paketleyiciler yük verilerini en baştan kendilerine katıştırırken, indiriciler yükü barındırıldığı çevrimiçi bir kaynaktan alır.
Kötü amaçlı yazılımla ilgili ayrıntılar, 2020'den beri tehdidi takip eden araştırmacılar tarafından bir raporda kamuoyuna açıklandı. O zamandan bu yana, DTPacker'ın çok çeşitli yeni aşama tehditleri sunmak için çok sayıda saldırı operasyonunun parçası olduğu gözlemlendi. bilgi hırsızları ( Agent Tesla ve FormBook ) ve Uzaktan Erişim Truva Atları veya RAT'ler (Ave Maria ve AsyncRAT) gibi. DTPacker ayrıca TA2536 ve TA2715 ve hatta APT (Gelişmiş Kalıcı Tehdit) grupları dahil olmak üzere birçok farklı tehdit aktörü tarafından konuşlandırıldı.
DTPacker'ın Ayrıntıları
DTPacker saldırı zinciri genellikle silahlı bir eklenti taşıyan yem e-postalarının dağıtımıyla başlar. Ekli dosya bozuk bir belge veya sıkıştırılmış bir yürütülebilir dosya olabilir. Kurbanlar dosyayla etkileşime girmeye çalıştığında, paketleyici yürütülebilir dosyası bilgisayarlarına teslim edilecektir. DTPacker iki aşamada çalışır ve analiz, sanal alan ortamları ve kötü amaçlı yazılımdan koruma güvenlik ürünlerinden kaçınmak için çeşitli gizleme teknikleriyle donatılmıştır.
Kötü amaçlı yazılımın eylemlerinin ilk aşaması, gömülü veya indirilmiş bir kaynağın bir DLL dosyasına kodunun çözülmesini içerir. İkinci aşama daha sonra yükü DLL'den çıkarır ve yürütmeye devam eder. İkinci aşama, başlangıçta 'trump2020' olan, ancak sonraki sürümler onu sabit bir ASCII anahtarı olan 'Trump2026'ya çeviren sabit bir anahtar kullanır. Kötü amaçlı yazılımın adı bu sabit anahtarlara dayanmaktadır.
Ayrıca, tuzak web sitelerinin yasal Liverpool FC ve taraftar tabanlı sayfalar olarak görünecek şekilde tasarlandığına da dikkat edilmelidir. DTPacker, bu web sitelerini, son yüklerin getirildiği indirme konumları olarak kullandı.
