Een voorheen ongedocumenteerde malware verpakker Met de naam DTPacker is waargenomen dat ze meerdere RAT's (Remote Access Trojans) en informatie-stealers, zoals Agent Tesla, Ave Maria, AsyncRAT en FormBook, verspreiden om informatie te plunderen en vervolgaanvallen te vergemakkelijken.
"De malware maakt gebruik van meerdere verduisteringstechnieken om antivirus, sandboxing en analyse te omzeilen", aldus Proofpoint, een beveiligingsbedrijf van de onderneming. zei in een maandag gepubliceerde analyse. "Het wordt waarschijnlijk verspreid op ondergrondse fora."
De op .NET gebaseerde commodity-malware is sinds 2020 in verband gebracht met tientallen campagnes en meerdere bedreigingsgroepen, zowel geavanceerde persistente bedreiging (APT) als cybercriminaliteit, met de inbraken gericht op honderden klanten in vele sectoren.
Aanvalketens waarbij de verpakker betrokken is, vertrouwen op phishing-e-mails als een eerste infectievector. De berichten bevatten een kwaadaardig document of een gecomprimeerde uitvoerbare bijlage, die, wanneer geopend, de packer inzet om de malware te starten.
Packers verschillen van downloaders doordat ze, in tegenstelling tot de laatste, een versluierde lading dragen om hun ware gedrag te verbergen voor beveiligingsoplossingen op een manier die fungeert als een "pantser om het binaire bestand te beschermen" en reverse engineering bemoeilijkt.
Wat DTPacker anders maakt, is dat het als beide functioneert. De naam is afgeleid van het feit dat het twee vaste sleutels met Donald Trump-thema gebruikte - "trump2020" en "Trump2026" - om de ingebedde of gedownloade bron te decoderen die uiteindelijk de uiteindelijke payload extraheert en uitvoert.
Het is momenteel niet bekend waarom de auteurs deze specifieke verwijzing naar de voormalige Amerikaanse president hebben gekozen, aangezien de malware niet wordt gebruikt om politici of politieke organisaties aan te vallen en de sleutels ook niet worden gezien door de beoogde slachtoffers.
Proofpoint zei dat het zag dat de operators subtiele veranderingen aanbrachten door vanaf maart 2021 over te stappen op het gebruik van websites van voetbalfanclubs als lokmiddel om de malware te hosten, waarbij de verpakker in dienst was van groepen zoals TA2536 en TA2715 in hun eigen campagnes een jaar daarvoor.
"Het gebruik van DTPacker als zowel inpakker als downloader en de variatie in bezorging en verduistering, terwijl twee van dergelijke unieke sleutels behouden blijven als onderdeel van de decodering, is zeer ongebruikelijk", aldus de onderzoekers, die verwachten dat de malware in de voorzienbare tijd door meerdere bedreigingsactoren zal worden gebruikt. toekomst.
