DarkTortilla è un malware crypter sofisticato e altamente configurabile che fornisce infostealer e trojan di accesso remoto più diffusi, tra cui AgentTesla, AsyncRAT, Redline e NanoCore.
Cos'è il cripto di DarkTortilla?
Un crypter è un tipo di software che ha la capacità di crittografare, offuscare, e manipolare il malware. Queste manipolazioni rendono più difficile per i programmi di sicurezza rilevare il malware. I crypter vengono spesso implementati dagli operatori di malware per aiutarli a bypassare le applicazioni anti-malware e di sicurezza presentandosi come programmi innocui.
Il crypter è scritto in .NET ed è in circolazione almeno da agosto 2015. DarkTortilla è stato utilizzato in campagne malware diffuse, ma i suoi ultimi attacchi forniscono payload mirati come Cobalt Strike e Metasploit. La scoperta proviene dall'Unità Counter Threat di Secureworks che ha identificato più campioni. “Da gennaio 2021 fino a maggio 2022, una media di 93 campioni unici di DarkTortilla a settimana sono stati caricati sul servizio di analisi VirusTotal,”Dice il rapporto.
Come vengono realizzate le ultime campagne di DarkTortilla?
Il metodo di distribuzione principale è lo spam dannoso (malspam). Non sorprende, le e-mail sono progettate per indurre il destinatario ad aprire il payload dannoso, nascosto in un allegato di archivio con tipi di file inclusi .iso, .chiusura, .img, .dmg, e .tar. Le email sono personalizzate in base alla lingua di destinazione, e può essere scritto in inglese, Tedesco, rumeno, spagnolo, italiano, e bulgaro, come rivelato dai campioni rilevati.
Il crypter è costituito da due componenti interconnessi che consentono la consegna del payload: un eseguibile basato su .NET, che è il caricatore iniziale, e una DLL basata su .NET, o il core processor.
L'attacco inizia con l'esecuzione del caricatore iniziale che recupera il core processor codificato. Va notato che il caricatore iniziale decodifica, carichi, ed esegue il core processor che quindi estrae, decifra, e analizza la configurazione del malware.
A seconda della configurazione di DarkTortilla, il core processor è in grado di fare quanto segue:
- Visualizzazione di una finestra di messaggio falsa
- Esecuzione di controlli antivirtuali sulle macchine
- Esecuzione di controlli anti-sandbox
- Implementazione della persistenza
- Migrazione dell'esecuzione nella directory %TEMP% di Windows tramite il file “fusione” elemento di configurazione
- Elaborazione dei pacchetti aggiuntivi
- Migrazione dell'esecuzione nella relativa directory di installazione
“I ricercatori spesso trascurano DarkTortilla e si concentrano sul suo carico utile principale. Tuttavia, DarkTortilla è in grado di eludere il rilevamento, è altamente configurabile, e fornisce una vasta gamma di malware popolare ed efficace. Le sue capacità e la sua prevalenza lo rendono una minaccia formidabile,”i ricercatori concluso.
È interessante notare che Cobalt Strike viene eliminato da vari malware, Compreso LockBit ransomware e pymafka.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: