Investigadores de seguridad descubrieron un nuevo empaquetador y cargador de malware. Apodado DTPacker, la decodificación de la carga útil utiliza una contraseña fija que contiene información antigua de EE. UU.. el nombre del presidente Donald Trump, según Proofpoint. Un elemento notable de los ataques asociados con DTPacker es que los actores de amenazas utilizaron ubicaciones de descarga con el tema del Liverpool Football Club.. El malware parece ser utilizado para empaquetar troyanos de acceso remoto. (RAT) diseñado para robar información y cargar más cargas útiles, incluyendo ransomware.
¿Qué es DTPacker??
El malware se ha descrito como un empaquetador o descargador .NET básico de dos etapas que también utiliza una segunda etapa con una contraseña fija como parte de la decodificación.. Debemos mencionar que hay una diferencia entre un empaquetador y un descargador: la ubicación de los datos de carga útil incrustados, incrustado en un empaquetador y descargado en un descargador. Proofpoint descubrió que DTPacker usa ambas formas, lo que lo convierte en una pieza inusual de malware.
¿Qué tipos de ataques realiza DTPacker??
Se ha observado que DTPacker distribuye múltiples RAT y ladrones de información, como el agente Tesla, AVE María, AsyncRAT, y FormBook. Además, el malware utilizó múltiples técnicas de ofuscación para eludir la protección y el análisis antivirus y sandbox. Los investigadores creen que se distribuye en foros clandestinos..
La pieza también está asociada con múltiples campañas y actores de amenazas., como TA2536 y TA2715, ya que 2020. Es muy probable que DTPacker sea utilizado tanto por amenazas persistentes avanzadas como por actores de amenazas cibernéticas.. Las campañas analizadas incluyen miles de mensajes, e impactó a cientos de clientes en múltiples industrias, Informe de Proodpoint dijo.
En octubre 2021, se detectó otro cargador de malware nunca antes visto en la naturaleza. ¿Qué tiene de especial el cargador wslink es su capacidad para ejecutarse como un servidor y ejecutar los módulos recibidos en la memoria. Sin código, la funcionalidad o las similitudes operativas sugirieron que el cargador ha sido codificado por un actor de amenazas conocido. El cargador se utilizó en ataques contra Europa Central., Norteamérica, y Oriente Medio.