DTPacker Malware
DTPacker 是一种相当奇特的恶意软件,因为它既包含打包程序功能,又充当下载程序。至少可以说,这种用于传递下一阶段威胁有效载荷的方法组合是非常不寻常的。毕竟,打包程序从一开始就将有效载荷数据嵌入其中,而下载程序则从托管它的在线资源中获取有效载荷。
自 2020 年以来一直关注该威胁的研究人员在一份报告中向公众发布了有关该恶意软件的详细信息。从那时起,DTPacker 已被观察为众多攻击操作的一部分,以提供广泛的下一阶段威胁,例如信息窃取程序( Agent Tesla和FormBook )和远程访问木马或 RAT( Ave Maria和AsyncRAT )。 DTPacker 也被几个不同的威胁参与者部署,包括 TA2536 和 TA2715,甚至 APT(高级持续威胁)组。
DTPacker 的详细信息
DTPacker 攻击链通常从分发带有武器化附件的诱饵电子邮件开始。附件可能是损坏的文档或压缩的可执行文件。当受害者尝试与文件交互时,打包程序可执行文件将被传递到他们的计算机。 DTPacker 分两个阶段运行,并配备了各种混淆技术来避免分析、沙箱环境和反恶意软件安全产品。
恶意软件行动的第一阶段包括将嵌入或下载的资源解码为 DLL。然后第二阶段从 DLL 中提取有效负载并继续执行它。第二阶段使用固定密钥,最初是“trump2020”,但后来的版本将其切换为固定的 ASCII 密钥“Trump2026”。恶意软件的名称基于这些固定密钥。
还应该注意的是,诱饵网站被设计为显示为合法的利物浦足球俱乐部和基于球迷的页面。 DTPacker 将这些网站用作获取最终有效负载的下载位置。
