Tin tặc sử dụng trình đóng gói phần mềm độc hại mới DTPacker để tránh phân tích, phát hiện

Trình đóng gói phần mềm độc hại

Một không có giấy tờ trước đây tên là DTPacker đã bị phát hiện phân phối nhiều trojan truy cập từ xa (RAT) và những như Agent Tesla, Ave Maria, AsyncRAT và FormBook để cướp thông tin và tạo điều kiện cho các cuộc tấn công tiếp theo.

Công ty bảo mật doanh nghiệp Proofpoint cho biết trong một phân tích được công bố hôm thứ Hai: “Phần mềm độc hại sử dụng nhiều kỹ thuật xáo trộn để trốn tránh phần mềm chống vi-rút, hộp cát và phân tích”. “Nó có khả năng được phát tán trên các diễn đàn ngầm.”

Phần mềm độc hại hàng hóa dựa trên .NET đã được liên kết với hàng chục chiến dịch và nhiều nhóm mối đe dọa, cả mối đe dọa liên tục nâng cao (APT) và các tác nhân tội phạm mạng, kể từ năm 2020, với các cuộc xâm nhập nhằm vào hàng trăm khách hàng trên nhiều lĩnh vực.

Các chuỗi tấn công liên quan đến trình đóng gói dựa trên các email lừa đảo như một vectơ lây nhiễm ban đầu. Các thư chứa tài liệu độc hại hoặc tệp đính kèm thực thi được nén, khi mở ra, trình đóng gói sẽ triển khai trình đóng gói để khởi chạy phần mềm độc hại.

Trình đóng gói phần mềm độc hại

Các trình đóng gói khác với trình tải xuống ở điểm không giống như những trình sau, chúng mang một trọng tải khó hiểu để che giấu hành vi thực sự của chúng khỏi các giải pháp bảo mật theo cách hoạt động như một “áo giáp để bảo vệ hệ nhị phân” và làm cho việc thiết kế ngược trở nên khó khăn hơn.

Xem tiếp:   Tin tặc Triều Tiên bắt đầu năm mới với các cuộc tấn công vào Bộ Ngoại giao Nga

Điều làm cho DTPacker khác biệt là nó hoạt động như cả hai. Tên của nó có từ thực tế là nó đã sử dụng hai khóa cố định theo chủ đề Donald Trump – “trump2020” và “Trump2026” – để giải mã tài nguyên được nhúng hoặc tải xuống cuối cùng sẽ trích xuất và thực hiện tải trọng cuối cùng.

Hiện tại vẫn chưa biết lý do tại sao các tác giả chọn tài liệu tham khảo cụ thể này cho cựu tổng thống Hoa Kỳ vì phần mềm độc hại không được sử dụng để nhắm mục tiêu vào các chính trị gia hoặc tổ chức chính trị cũng như không phải là chìa khóa mà các nạn nhân được nhắm mục tiêu nhìn thấy.

Proofpoint cho biết họ đã quan sát thấy các nhà khai thác thực hiện những thay đổi tinh vi bằng cách chuyển sang sử dụng các trang web của câu lạc bộ người hâm mộ bóng đá làm mồi nhử để lưu trữ phần mềm độc hại từ tháng 3 năm 2021, với trình đóng gói được các nhóm như TA2536 và TA2715 sử dụng trong các chiến dịch của riêng họ một năm trước đó.

Các nhà nghiên cứu cho biết: “Việc sử dụng DTPacker với tư cách là trình đóng gói và tải xuống và sự biến đổi của nó trong việc phân phối và giải mã trong khi vẫn giữ hai khóa duy nhất như một phần giải mã của nó là rất bất thường”, các nhà nghiên cứu cho biết, những người mong đợi phần mềm độc hại sẽ được sử dụng bởi nhiều tác nhân đe dọa. Tương lai.

Xem tiếp:   Các nhà nghiên cứu cảnh báo người dùng Iran về các chiến dịch lừa đảo qua SMS lan rộng

.

Related Posts

Check Also

Lỗ hổng BMC nghiêm trọng ‘sự cố’ ảnh hưởng đến máy chủ QCT được sử dụng trong trung tâm dữ liệu

Theo một nghiên cứu mới được công bố hôm nay, các máy chủ của Công …