DarkTortilla es un malware de cifrado sofisticado y altamente configurable que ofrece ladrones de información populares y troyanos de acceso remoto, incluido AgentTesla., AsyncRAT, Línea roja y NanoCore.
¿Qué es el Crypter DarkTortilla??
Un encriptador es un tipo de software que tiene la capacidad de encriptar, ofuscar, y manipular el malware. Estas manipulaciones dificultan que los programas de seguridad detecten el malware.. Los operadores de malware a menudo implementan los cifrados para ayudarlos a eludir las aplicaciones antimalware y de seguridad al presentarse como programas inofensivos..
El encriptador está escrito en .NET y existe al menos desde agosto. 2015. DarkTortilla se ha utilizado en campañas de malware generalizadas, pero sus últimos ataques ofrecen cargas útiles específicas, como Cobalt Strike y Metasploit.. El descubrimiento proviene de Secureworks Counter Threat Unit, que identificó varias muestras. "Desde enero 2021 hasta mayo 2022, un promedio de 93 Se cargaron muestras únicas de DarkTortilla por semana al servicio de análisis VirusTotal.,”Según el informe.
Cómo se llevan a cabo las últimas campañas de DarkTortilla?
El principal método de distribución es el spam malicioso. (malspam). No es sorprendente, los correos electrónicos están diseñados para engañar al receptor para que abra la carga útil maliciosa, oculto en un archivo adjunto con tipos de archivos que incluyen .iso, .cremallera, .img, .dmg, y .tar. Los correos electrónicos se personalizan según el idioma del destino., y se puede escribir en ingles, alemán, rumano, Español, italiano, y búlgaro, según lo revelado por las muestras detectadas.
El encriptador consta de dos componentes interconectados que permiten la entrega de la carga útil: un ejecutable basado en .NET, cual es el cargador inicial, y una DLL basada en .NET, o el procesador central.
El ataque comienza con la ejecución del cargador inicial que recupera el procesador central codificado.. Cabe señalar que el cargador inicial decodifica, cargas, y ejecuta el procesador central que luego extrae, descifra, y analiza la configuración del malware.
Dependiendo de la configuración de DarkTortilla, el procesador central es capaz de lo siguiente:
- Mostrar un cuadro de mensaje falso
- Realización de comprobaciones anti-máquina virtual
- Realización de comprobaciones anti-sandbox
- Implementando persistencia
- Migración de la ejecución al directorio %TEMP% de Windows a través de la “Fundir” elemento de configuración
- Procesamiento de paquetes adicionales
- Migración de la ejecución a su directorio de instalación
“Los investigadores a menudo pasan por alto DarkTortilla y se enfocan en su principal carga útil. Sin embargo, DarkTortilla es capaz de evadir la detección, es altamente configurable, y ofrece una amplia gama de programas maliciosos populares y efectivos. Sus capacidades y prevalencia lo convierten en una amenaza formidable.," los investigadores concluido.
Es de destacar que Cobalt Strike se deja caer por varias piezas de malware., Incluido LockBit ransomware y pymafka.