Investigadores de seguridad descubrieron un nuevo empaquetador y cargador de malware. Apodado DTPacker, la decodificación de la carga útil utiliza una contraseña fija que contiene información antigua de EE. UU.. el nombre del presidente Donald Trump, según Proofpoint. Un elemento notable de los ataques asociados con DTPacker es que los actores de amenazas utilizaron ubicaciones de descarga con el tema del Liverpool Football Club.. El malware parece ser utilizado para empaquetar troyanos de acceso remoto. (RAT) diseñado para robar información y cargar más cargas útiles, incluyendo ransomware.
¿Qué es DTPacker??
El malware se ha descrito como un empaquetador o descargador .NET básico de dos etapas que también utiliza una segunda etapa con una contraseña fija como parte de la decodificación.. Debemos mencionar que hay una diferencia entre un empaquetador y un descargador: la ubicación de los datos de carga útil incrustados, incrustado en un empaquetador y descargado en un descargador. Proofpoint descubrió que DTPacker usa ambas formas, lo que lo convierte en una pieza inusual de malware.
¿Qué tipos de ataques realiza DTPacker??
Se ha observado que DTPacker distribuye múltiples RAT y ladrones de información, como el agente Tesla, AVE María, AsyncRAT, y FormBook. Además, el malware utilizó múltiples técnicas de ofuscación para eludir la protección y el análisis antivirus y sandbox. Los investigadores creen que se distribuye en foros clandestinos..
La pieza también está asociada con múltiples campañas y actores de amenazas., como TA2536 y TA2715, ya que 2020. Es muy probable que DTPacker sea utilizado tanto por amenazas persistentes avanzadas como por actores de amenazas cibernéticas.. Las campañas analizadas incluyen miles de mensajes, e impactó a cientos de clientes en múltiples industrias, Informe de Proodpoint dijo.
En octubre 2021, se detectó otro cargador de malware nunca antes visto en la naturaleza. ¿Qué tiene de especial el cargador wslink es su capacidad para ejecutarse como un servidor y ejecutar los módulos recibidos en la memoria. Sin código, la funcionalidad o las similitudes operativas sugirieron que el cargador ha sido codificado por un actor de amenazas conocido. El cargador se utilizó en ataques contra Europa Central., Norteamérica, y Oriente Medio.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: