Ранее не зарегистрированный пакер вредоносных программ Было замечено, что named DTPacker распространяет несколько троянов удаленного доступа (RAT) и похитителей информации, таких как Agent Tesla, Ave Maria, AsyncRAT и FormBook, для хищения информации и облегчения последующих атак.
«Вредоносное ПО использует несколько методов запутывания, чтобы обойти антивирус, песочницу и анализ», — компания Proofpoint, занимающаяся корпоративной безопасностью. — сказал в анализе, опубликованном в понедельник. «Вероятно, он распространяется на подпольных форумах».
Массовое вредоносное ПО на основе .NET с 2020 года связано с десятками кампаний и несколькими группами угроз, как с продвинутыми постоянными угрозами (APT), так и с участниками киберпреступности, с вторжениями, направленными на сотни клиентов во многих секторах.
Цепочки атак с участием упаковщика основаны на фишинговых письмах как на начальном векторе заражения. Сообщения содержат вредоносный документ или сжатое исполняемое вложение, которое при открытии запускает упаковщик для запуска вредоносного ПО.
Упаковщики отличаются от загрузчиков тем, что, в отличие от последних, они несут запутанную полезную нагрузку, чтобы скрыть свое истинное поведение от решений безопасности, что действует как «броня для защиты двоичного файла» и затрудняет обратный инжиниринг.
Что отличает DTPacker, так это то, что он работает как оба. Его название происходит от того факта, что он использовал два фиксированных ключа на тему Дональда Трампа — «trump2020» и «Trump2026» — для декодирования встроенного или загруженного ресурса, который в конечном итоге извлекает и выполняет окончательную полезную нагрузку.
В настоящее время неизвестно, почему авторы выбрали эту конкретную ссылку на бывшего президента США, поскольку вредоносное ПО не используется для нападения на политиков или политические организации, а ключи не видны жертвам.
Proofpoint заявила, что наблюдала, как операторы вносили тонкие изменения, переходя на использование веб-сайтов футбольных фан-клубов в качестве приманки для размещения вредоносного ПО с марта 2021 года, а упаковщик использовался такими группами, как TA2536 и TA2715 в их собственных кампаниях за год до этого.
«Использование DTPacker как упаковщика и загрузчика, а также его вариации в доставке и обфускации при сохранении двух таких уникальных ключей как части его декодирования очень необычны», — сказали исследователи, которые ожидают, что вредоносное ПО будет использоваться несколькими злоумышленниками в обозримом будущем. будущее.