DTPacker Malware
DTPacker 是一種相當奇特的惡意軟件,因為它既包含打包程序功能,又充當下載程序。至少可以說,這種用於傳遞下一階段威脅有效載荷的方法組合是非常不尋常的。畢竟,打包程序從一開始就將有效載荷數據嵌入其中,而下載程序則從託管它的在線資源中獲取有效載荷。
自 2020 年以來一直關注該威脅的研究人員在一份報告中向公眾發布了有關該惡意軟件的詳細信息。從那時起,DTPacker 被觀察為眾多攻擊操作的一部分,以提供廣泛的下一階段威脅,例如信息竊取程序( Agent Tesla和FormBook )和遠程訪問木馬或 RAT( Ave Maria和AsyncRAT )。 DTPacker 也被幾個不同的威脅參與者部署,包括 TA2536 和 TA2715,甚至 APT(高級持續威脅)組。
DTPacker 的詳細信息
DTPacker 攻擊鏈通常從分髮帶有武器化附件的誘餌電子郵件開始。附件可能是損壞的文檔或壓縮的可執行文件。當受害者嘗試與文件交互時,打包程序可執行文件將被傳遞到他們的計算機。 DTPacker 分兩個階段運行,並配備了各種混淆技術來避免分析、沙箱環境和反惡意軟件安全產品。
惡意軟件行動的第一階段包括將嵌入或下載的資源解碼為 DLL。然後第二階段從 DLL 中提取有效負載並繼續執行它。第二階段使用固定密鑰,最初是“trump2020”,但後來的版本將其切換為固定的 ASCII 密鑰“Trump2026”。惡意軟件的名稱基於這些固定密鑰。
還應該注意的是,誘餌網站被設計為顯示為合法的利物浦足球俱樂部和基於球迷的頁面。 DTPacker 將這些網站用作獲取最終有效負載的下載位置。
