Sicherheitsforscher entdeckten einen neuen Malware-Packer und -Loader. Synchronisierter DTPacker, die Payload-Decodierung verwendet ein festes Passwort, das ehemalige US enthält. den Namen von Präsident Donald Trump, laut Proofpoint. Ein bemerkenswertes Element der Angriffe im Zusammenhang mit DTPacker ist, dass Angreifer Download-Orte mit Liverpool Football Club-Motiven nutzten. Die Malware scheint verwendet zu werden, um Trojaner für den Fernzugriff zu packen (RATs) entwickelt, um Informationen zu stehlen und weitere Payloads zu laden, einschließlich Ransomware.
Was ist DTPacker?
Die Malware wurde als zweistufiger Standard-.NET-Packer oder -Downloader beschrieben, der als Teil der Dekodierung auch eine zweite Stufe mit einem festen Passwort verwendet. Wir sollten erwähnen, dass es einen Unterschied zwischen einem Packer und einem Downloader gibt – den Speicherort der eingebetteten Nutzlastdaten, in einen Packer eingebettet und in einem Downloader heruntergeladen. Proofpoint entdeckte, dass DTPacker beide Formen verwendet, was es zu einer ungewöhnlichen Malware macht.
Welche Arten von Angriffen führt DTPacker aus??
Es wurde beobachtet, dass DTPacker mehrere RATs und Informationsdiebe verbreitet, wie Agent Tesla, Ave Maria, AsyncRAT, und FormBook. Weiter, Die Malware verwendete mehrere Verschleierungstechniken, um Virenschutz und Sandbox-Schutz und -Analyse zu umgehen. Forscher glauben, dass es in Untergrundforen verbreitet wird.
Das Stück ist auch mit mehreren Kampagnen und Bedrohungsakteuren verbunden, wie TA2536 und TA2715, schon seit 2020. DTPacker wird höchstwahrscheinlich sowohl von Advanced Persistent Threat- als auch Cybercrime-Bedrohungsakteuren verwendet. Analysierte Kampagnen umfassen Tausende von Nachrichten, und wirkte sich auf Hunderte von Kunden in mehreren Branchen aus, Proodpoints Bericht sagte.
Im Oktober 2021, Ein weiterer bisher unbekannter Malware-Loader wurde in freier Wildbahn entdeckt. Was ist einzigartig an der Wslink-Loader ist seine Fähigkeit, als Server zu laufen und empfangene Module im Speicher auszuführen. Kein Code, Funktionalität oder Betriebsähnlichkeiten deuteten darauf hin, dass der Loader von einem bekannten Bedrohungsakteur codiert wurde. Der Lader wurde bei Angriffen gegen Mitteleuropa eingesetzt, Nordamerika, und der Nahe Osten.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: