Des chercheurs en sécurité ont découvert un nouveau packer et loader de logiciels malveillants. Surnommé DTPacker, le décodage de la charge utile utilise un mot de passe fixe qui contient l'ancien US. le nom du président Donald Trump, selon Proofpoint. Un élément notable des attaques associées à DTPacker est que les acteurs de la menace ont utilisé des emplacements de téléchargement sur le thème du Liverpool Football Club. Le logiciel malveillant semble être utilisé pour emballer les chevaux de Troie d'accès à distance (Les rats) conçu pour voler des informations et charger d'autres charges utiles, y compris ransomware.
Qu'est-ce que DTPacker?
Le logiciel malveillant a été décrit comme un packer ou un téléchargeur .NET en deux étapes qui utilise également une deuxième étape avec un mot de passe fixe dans le cadre du décodage.. Nous devons mentionner qu'il existe une différence entre un packer et un downloader - l'emplacement des données de charge utile intégrées, intégré dans un packer et téléchargé dans un téléchargeur. Proofpoint a découvert que DTPacker utilise les deux formulaires, ce qui en fait un malware inhabituel.
Quels types d'attaques DTPacker effectue-t-il?
DTPacker a été observé en train de distribuer plusieurs RAT et voleurs d'informations, comme l'agent Tesla, Avé Maria, AsyncRAT, et FormBook. En outre, le logiciel malveillant a utilisé plusieurs techniques d'obscurcissement pour contourner la protection et l'analyse antivirus et sandbox. Les chercheurs pensent qu'il est distribué sur des forums clandestins.
La pièce est également associée à plusieurs campagnes et acteurs de la menace, comme TA2536 et TA2715, depuis 2020. DTPacker est très probablement utilisé à la fois par les acteurs avancés des menaces persistantes et de la cybercriminalité. Les campagnes analysées incluent des milliers de messages, et impacté des centaines de clients dans de multiples secteurs, Le rapport de Proodpoint dit.
En Octobre 2021, un autre chargeur de logiciels malveillants inédit a été détecté dans la nature. Ce qu'il y a d'unique dans le Chargeur Wslink est sa capacité à fonctionner en tant que serveur et à exécuter les modules reçus en mémoire. Pas de code, les fonctionnalités ou les similitudes opérationnelles suggèrent que le chargeur a été codé par un acteur menaçant connu. Le chargeur a été utilisé dans des attaques contre l'Europe centrale, Amérique du Nord, et au Moyen-Orient.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: