DarkTortilla ist eine ausgeklügelte und hochgradig konfigurierbare Crypter-Malware, die beliebte Infostealer und Fernzugriffstrojaner, einschließlich AgentTesla, liefert, AsyncRAT, Redline und NanoCore.
Was ist der DarkTortilla Crypter?
Ein Crypter ist eine Art von Software, die die Fähigkeit zum Verschlüsseln hat, verschleiern, und manipulieren Malware. Diese Manipulationen erschweren es Sicherheitsprogrammen, die Malware zu erkennen. Krypter werden häufig von Malware-Betreibern eingesetzt, um ihnen zu helfen, Anti-Malware- und Sicherheitsanwendungen zu umgehen, indem sie als harmlose Programme präsentiert werden.
Der Crypter ist in .NET geschrieben und gibt es mindestens seit August 2015. DarkTortilla wurde in weit verbreiteten Malware-Kampagnen verwendet, aber seine neuesten Angriffe liefern gezielte Payloads wie Cobalt Strike und Metasploit. Die Entdeckung stammt von der Secureworks Counter Threat Unit, die mehrere Proben identifiziert hat. „Ab Januar 2021 bis Mai 2022, ein Durchschnitt von 93 Jede Woche wurden einzigartige DarkTortilla-Proben in den VirusTotal-Analysedienst hochgeladen,“So der Bericht.
Wie werden die neuesten Kampagnen von DarkTortilla durchgeführt??
Die primäre Verbreitungsmethode ist böswilliger Spam (malspam). Nicht überraschend, Die E-Mails sollen den Empfänger dazu verleiten, die bösartige Payload zu öffnen, versteckt in einem Archivanhang mit Dateitypen einschließlich .iso, .Reißverschluss, .img, .dmg, und .tar. Die E-Mails werden entsprechend der Zielsprache angepasst, und kann auf Englisch verfasst werden, Deutsche, rumänisch, Spanisch, Italienisch, und Bulgarisch, wie die detektierten Proben zeigen.
Der Crypter besteht aus zwei miteinander verbundenen Komponenten, die die Zustellung der Nutzdaten ermöglichen: eine .NET-basierte ausführbare Datei, das ist der Initial Loader, und eine .NET-basierte DLL, oder der Core-Prozessor.
Der Angriff beginnt mit der Ausführung des Initial Loaders, der den verschlüsselten Kernprozessor abruft. Es sollte beachtet werden, dass der anfängliche Lader dekodiert, Ladungen, und führt den Kernprozessor aus, der dann extrahiert, entschlüsselt, und analysiert die Konfiguration der Malware.
Abhängig von der Konfiguration von DarkTortilla, Der Core-Prozessor ist zu Folgendem in der Lage:
- Anzeigen eines gefälschten Nachrichtenfelds
- Durchführen von Anti-Virtual-Machine-Checks
- Durchführen von Anti-Sandbox-Prüfungen
- Persistenz implementieren
- Migrieren der Ausführung in das Windows-Verzeichnis %TEMP% über die “Schmelze” Konfigurationselement
- Verarbeitung von Zusatzpaketen
- Migrieren der Ausführung in ihr Installationsverzeichnis
„Forscher übersehen oft DarkTortilla und konzentrieren sich auf seine Hauptnutzlast. Jedoch, DarkTortilla ist in der Lage, der Erkennung zu entgehen, ist hochgradig konfigurierbar, und liefert eine große Auswahl an beliebter und effektiver Malware. Seine Fähigkeiten und Verbreitung machen es zu einer gewaltigen Bedrohung," die Forscher abgeschlossen.
Es ist bemerkenswert, dass Cobalt Strike von verschiedenen Malware-Teilen fallen gelassen wird, Inklusive Lockbit Ransomware und pymafka.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: