연구원들은 두 개의 피싱 사이트를 발견했습니다. 하나는 Cisco 웹페이지를 스푸핑하고 다른 하나는 Grammarly 사이트로 가장하여 공격자들이 "DarkTortilla"로 알려진 특히 치명적인 맬웨어를 배포하는 데 사용하고 있습니다.

.NET 기반 악성코드는 다양한 페이로드를 전달하도록 구성할 수 있으며 이를 수행하는 기능으로 알려져 있습니다. 극도로 은밀하고 끈질긴 시스템에서 손상됩니다.

여러 위협 그룹이 2015년부터 AgentTesla, AsyncRAT 및 NanoCore와 같은 원격 액세스 트로이 목마와 정보 도용자를 삭제하기 위해 DarkTortilla를 사용하고 있습니다. Babuk 운영자와 같은 일부 랜섬웨어 그룹도 페이로드 전달 체인의 일부로 DarkTortilla를 사용했습니다. 이러한 캠페인의 대부분에서 공격자는 의심하지 않는 사용자를 멀웨어에 빠뜨리기 위해 주로 스팸 이메일의 악성 첨부 파일(.zip, .img, .iso)을 사용했습니다.

피싱 사이트를 통한 DarkTortilla 전달

최근 Cyble Research and Intelligence Labs의 연구원들은 공격자가 합법적인 사이트로 위장한 두 개의 피싱 사이트를 사용하여 악성 코드를 배포하는 악의적인 캠페인을 확인했습니다. Cyble은 캠페인 운영자가 스팸 이메일이나 온라인 광고를 사용하여 두 사이트에 대한 링크를 배포할 가능성이 있다고 추측했습니다.

스푸핑된 Grammarly 웹사이트 링크를 따라가는 사용자는 "Get Grammarly" 버튼을 클릭할 때 "GnammanlyInstaller.zip"이라는 악성 파일을 다운로드하게 됩니다. .zip 파일에는 두 번째 암호화된 32비트 .NET 실행 파일을 드롭하는 Grammarly 실행 파일로 위장한 악성 설치 프로그램이 포함되어 있습니다. 그런 다음 공격자가 제어하는 ​​원격 서버에서 암호화된 DLL 파일을 다운로드합니다. .NET 실행 파일은 암호화된 DLL 파일을 해독하고 손상된 시스템의 메모리에 로드하여 다양한 악성 활동을 실행한다고 Cyble은 말했습니다.

한편 Cisco 피싱 사이트는 Cisco의 Secure Client VPN 기술 다운로드 페이지처럼 보입니다. 그러나 사용자가 제품을 "주문"하기 위해 버튼을 클릭하면 대신 공격자가 제어하는 ​​원격 서버에서 악성 VC++ 파일을 다운로드하게 됩니다. 이 맬웨어는 손상된 시스템에 설치된 DarkTortilla로 끝나는 일련의 작업을 트리거합니다.

싸이블의 페이로드 분석 지속성, 프로세스 주입, 바이러스 백신 및 가상 머신/샌드박스 검사 수행, 가짜 메시지 표시, 명령 및 제어(C2) 서버와 통신 및 추가 페이로드 다운로드를 위한 맬웨어 패킹 기능을 보여주었습니다.

Cyble의 연구원들은 예를 들어 감염된 시스템에서 지속성을 보장하기 위해 DarkTortilla가 자신의 복사본을 시스템의 시작 폴더에 드롭하고 Run/Winlogin 레지스트리 항목을 생성한다는 사실을 발견했습니다. 추가 지속성 메커니즘으로 DarkTortilla는 감염된 시스템에 "system_update.exe"라는 이름의 새 폴더를 만들고 자신을 폴더에 복사합니다.

정교하고 위험한 맬웨어

한편 DarkTortilla의 가짜 메시지 기능은 기본적으로 특정 종속 응용 프로그램 구성 요소를 시스템에서 사용할 수 없기 때문에 실행하지 못한 Grammarly 또는 Cisco 응용 프로그램을 믿도록 피해자를 속이는 메시지를 제공합니다.

Cyble 연구원은 월요일 권고에서 "DarkTortilla 맬웨어는 매우 정교한 .NET 기반 맬웨어로 실제 사용자를 대상으로 합니다."라고 밝혔습니다. “피싱 사이트에서 다운로드한 파일은 다양한 감염 기술을 보여 [위협 행위자]가 다양한 옵션을 사용하여 바이너리를 사용자 정의하고 컴파일할 수 있는 정교한 플랫폼을 가지고 있음을 나타냅니다.”

언급한 바와 같이 DarkTortilla는 종종 추가 멀웨어에 대한 XNUMX단계 로더 역할을 합니다. Secureworks의 Counter Threat Unit의 연구원들은 올해 초 DarkTortilla를 사용하여 Remcos, BitRat, WarzoneRat, Snake Keylogger, LokiBot, QuasarRat, NetWire 및 DCRat를 포함한 광범위한 맬웨어를 대량 배포하는 위협 행위자를 식별했습니다.

또한 표적 공격에서 멀웨어를 사용하는 일부 공격자를 식별했습니다. 코발트 스트라이크 Metasploit 침해 후 공격 키트. 당시 Secureworks는 중요한 Microsoft Exchange 원격 코드 실행 취약점(CVE-2021-34473) 작년.

Secureworks는 DarkTortilla가 높은 수준의 구성 가능성과 CofuserEX 및 DeepSea와 같은 오픈 소스 도구를 사용하여 코드를 난독화하기 때문에 매우 위험한 것으로 평가했습니다. DarkTortilla의 기본 페이로드가 완전히 메모리에서 실행된다는 사실은 악성 코드를 위험하고 발견하기 어렵게 만드는 또 다른 기능이라고 당시 Secureworks는 지적했습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/attacks-breaches/darktortilla-malware-imposter-cisco-grammarly-phishing