DarkTortilla est un logiciel malveillant de cryptage sophistiqué et hautement configurable qui fournit des voleurs d'informations populaires et des chevaux de Troie d'accès à distance, y compris AgentTesla, AsyncRAT, Ligne rouge et NanoCore.
Qu'est-ce que le crypteur DarkTortilla?
Un crypteur est un type de logiciel qui a la capacité de chiffrer, brouiller, et manipuler les logiciels malveillants. Ces manipulations rendent plus difficile la détection des logiciels malveillants par les programmes de sécurité. Les crypteurs sont souvent déployés par les opérateurs de logiciels malveillants pour les aider à contourner les applications anti-malware et de sécurité en les présentant comme des programmes inoffensifs.
Le crypteur est écrit en .NET et existe depuis au moins août 2015. DarkTortilla a été utilisé dans des campagnes de programmes malveillants à grande échelle, mais ses dernières attaques fournissent des charges utiles ciblées telles que Cobalt Strike et Metasploit. La découverte vient de Secureworks Counter Threat Unit qui a identifié plusieurs échantillons. « A partir de janvier 2021 jusqu'en mai 2022, une moyenne de 93 des échantillons uniques de DarkTortilla par semaine ont été téléchargés sur le service d'analyse de VirusTotal,» Le rapport.
Comment se déroulent les dernières campagnes de DarkTortilla?
La principale méthode de distribution est le spam malveillant (malspam). Sans surprise, les e-mails sont conçus pour inciter le destinataire à ouvrir la charge utile malveillante, caché dans une pièce jointe d'archive avec des types de fichiers, y compris .iso, .fermeture éclair, .img, .dmg, et .tar. Les emails sont personnalisés en fonction de la langue de la cible, et peut être écrit en anglais, allemand, roumain, Espanol, italien, et bulgare, tel que révélé par les échantillons détectés.
Le chiffreur se compose de deux composants interconnectés qui permettent la livraison de la charge utile: un exécutable basé sur .NET, qui est le chargeur initial, et une DLL basée sur .NET, ou le processeur central.
L'attaque commence par l'exécution du chargeur initial qui récupère le processeur principal encodé. Il convient de noter que le chargeur initial décode, charges, et exécute le processeur central qui extrait ensuite, décrypte, et analyse la configuration du logiciel malveillant.
Selon la configuration de DarkTortilla, le processeur principal est capable de ce qui suit:
- Afficher une fausse boîte de message
- Effectuer des vérifications anti-machines virtuelles
- Effectuer des vérifications anti-sandbox
- Mettre en œuvre la persistance
- Migration de l'exécution vers le répertoire Windows %TEMP% via le “Fondre” élément de configuration
- Traitement des packages d'extensions
- Migrer l'exécution vers son répertoire d'installation
"Les chercheurs négligent souvent DarkTortilla et se concentrent sur sa principale charge utile. Cependant, DarkTortilla est capable d'échapper à la détection, est hautement configurable, et fournit un large éventail de logiciels malveillants populaires et efficaces. Ses capacités et sa prévalence en font une menace redoutable," les chercheurs conclu.
Il est à noter que Cobalt Strike est abandonné par divers logiciels malveillants, Y compris LockBit ransomware et pymafka.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: