DTPacker Malware

DTPacker ist eine ziemlich eigenartige Malware, da sie sowohl Packer-Funktionalität enthält als auch als Downloader fungiert. Eine solche Kombination von verwendeten Methoden, um bedrohliche Nutzlasten der nächsten Stufe zu liefern, ist, gelinde gesagt, ziemlich ungewöhnlich. Schließlich haben Packer die Nutzdaten von Anfang an eingebettet, während Downloader die Nutzdaten von einer Online-Ressource abrufen, auf der sie gehostet werden.

Details über die Malware wurden in einem Bericht der Forscher veröffentlicht, die die Bedrohung seit 2020 verfolgen. Seitdem wurde DTPacker im Rahmen zahlreicher Angriffsoperationen beobachtet, um eine breite Palette von Bedrohungen der nächsten Stufe zu liefern , wie Infostealer ( Agent Tesla und FormBook ) und Remote-Access-Trojaner oder RATs ( Ave Maria und AsyncRAT ). DTPacker wurde auch von mehreren verschiedenen Bedrohungsakteuren eingesetzt, darunter TA2536 und TA2715 und sogar APT-Gruppen (Advanced Persistent Threat).

DTPacker-Details

Die DTPacker-Angriffskette beginnt normalerweise mit der Verteilung von Köder-E-Mails, die einen bewaffneten Anhang enthalten. Die angehängte Datei kann ein beschädigtes Dokument oder eine komprimierte ausführbare Datei sein. Wenn die Opfer versuchen, mit der Datei zu interagieren, wird die ausführbare Packer-Datei auf ihre Computer übertragen. DTPacker läuft in zwei Phasen und ist mit verschiedenen Verschleierungstechniken ausgestattet, um Analysen, Sandbox-Umgebungen und Anti-Malware-Sicherheitsprodukte zu vermeiden.

Die erste Phase der Malware-Aktionen umfasst die Dekodierung einer eingebetteten oder heruntergeladenen Ressource in eine DLL. Die zweite Stufe extrahiert dann die Nutzdaten aus der DLL und fährt damit fort, sie auszuführen. Die zweite Stufe verwendet einen festen Schlüssel, der ursprünglich „Trump2020“ war, aber spätere Versionen haben ihn auf einen festen ASCII-Schlüssel „Trump2026“ umgestellt. Der Name der Schadsoftware basiert auf diesen festen Schlüsseln.

Es sollte auch beachtet werden, dass die Lockvogel-Websites so konzipiert wurden, dass sie als legitime Seiten des FC Liverpool und auf Fanseiten erscheinen. DTPacker verwendete diese Websites als Download-Orte, von denen die endgültigen Payloads abgerufen wurden.