DarkTortilla er en sofistikeret og meget konfigurerbar crypter malware, der leverer populære infostealere og fjernadgang trojanske heste inklusive AgentTesla, AsyncRAT, Redline og NanoCore.
Hvad er DarkTortilla Crypter?
En crypter er en type software, der har evnerne til at kryptere, sløre, og manipulere malware. Disse manipulationer gør det sværere for sikkerhedsprogrammer at opdage malwaren. Kryptere bliver ofte implementeret af malware-operatører for at hjælpe dem med at omgå anti-malware- og sikkerhedsapplikationer ved at blive præsenteret som harmløse programmer.
Krypteren er skrevet i .NET og har eksisteret i hvert fald siden august 2015. DarkTortilla er blevet brugt i udbredte malware-kampagner, men dets seneste angreb leverer målrettede nyttelaster såsom Cobalt Strike og Metasploit. Opdagelsen kommer fra Secureworks Counter Threat Unit, som identificerede flere prøver. "Fra januar 2021 til og med maj 2022, et gennemsnit på 93 unikke DarkTortilla-prøver om ugen blev uploadet til VirusTotal-analysetjenesten,”Hedder det i rapporten.
Hvordan udføres DarkTortillas seneste kampagner?
Den primære distributionsmetode er ondsindet spam (malspam). Ikke overraskende, e-mails er designet til at narre modtageren til at åbne den ondsindede nyttelast, skjult i en arkivvedhæftning med filtyper inklusive .iso, .zip, .IMG, .dmg, og tjære. E-mails tilpasses efter målets sprog, og kan skrives på engelsk, tysk, rumænsk, spansk, italiensk, og bulgarsk, som afsløret af de påviste prøver.
Krypteren består af to indbyrdes forbundne komponenter, der muliggør levering af nyttelasten: en .NET-baseret eksekverbar, som er den indledende læsser, og en .NET-baseret DLL, eller kerneprocessoren.
Angrebet starter med udførelsen af den indledende loader, som henter den kodede kerneprocessor. Det skal bemærkes, at den indledende loader afkoder, belastninger, og udfører kerneprocessoren, som derefter udtrækker, dekrypterer, og analyserer malwarens konfiguration.
Afhængig af DarkTortillas konfiguration, kerneprocessoren er i stand til følgende:
- Viser en falsk beskedboks
- Udførelse af anti-virtuelle maskintjek
- Udførelse af anti-sandbox-tjek
- Implementering af persistens
- Migrering af udførelse til Windows %TEMP%-mappen via “Smelte” konfigurationselement
- Behandler tilføjelsespakker
- Migrerer udførelse til dets installationsmappe
"Forskere overser ofte DarkTortilla og fokuserer på dens vigtigste nyttelast. Men, DarkTortilla er i stand til at undgå opdagelse, er meget konfigurerbar, og leverer en bred vifte af populær og effektiv malware. Dens evner og udbredelse gør det til en formidabel trussel,”forskerne indgået.
Det er bemærkelsesværdigt, at Cobalt Strike bliver droppet af forskellige malware-stykker, Herunder LockBit ransomware og pymafka.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: