DTPacker Malware

DTPacker er en ret ejendommelig malware, da den både indeholder pakkerfunktionalitet og fungerer som downloader. En sådan kombination af brugte metoder til at levere truende nyttelast i næste trin er mildest talt ret usædvanlig. Når alt kommer til alt, har pakkere nyttelastdataene indlejret i sig fra starten, mens downloadere henter nyttelasten fra en online ressource, hvor den er hostet.

Detaljer om malwaren blev frigivet til offentligheden i en rapport fra de forskere, der har fulgt truslen siden 2020. I tiden siden da er DTPacker blevet observeret som en del af adskillige angrebsoperationer for at levere en bred vifte af trusler i næste trin. , såsom infostealere ( Agent Tesla og FormBook ) og fjernadgangstrojanske heste eller RAT'er ( Ave Maria og AsyncRAT ). DTPacker er også blevet indsat af flere forskellige trusselsaktører, inklusive TA2536 og TA2715 og endda APT (Advanced Persistent Threat) grupper.

DTPackers detaljer

DTPacker-angrebskæden begynder normalt med distribution af lokkemad-e-mails, der bærer en våbenvedhæftet fil. Den vedhæftede fil kan være et beskadiget dokument eller en komprimeret eksekverbar fil. Når ofrene forsøger at interagere med filen, vil pakkeprogrammet blive leveret til deres computere. DTPacker kører i to trin og er udstyret med forskellige sløringsteknikker for at undgå analyse, sandkassemiljøer og anti-malware sikkerhedsprodukter.

Den første fase af malwarens handlinger inkluderer afkodning af en indlejret eller downloadet ressource til en DLL. Det andet trin udtrækker derefter nyttelasten fra DLL'en og fortsætter med at udføre den. Det andet trin bruger en fast nøgle, som oprindeligt var 'trump2020', men senere versioner skiftede den til en fast ASCII-nøgle 'Trump2026.' Navnet på malwaren er baseret på disse faste nøgler.

Det skal også bemærkes, at lokkesiderne er designet til at fremstå som legitime Liverpool FC og fan-baserede sider. DTPacker brugte disse websteder som downloadsteder, hvorfra de endelige nyttelaster blev hentet.