I ricercatori di sicurezza hanno scoperto un nuovo packer e caricatore di malware. Soprannominato DTPacker, la decodifica del carico utile utilizza una password fissa che contiene gli Stati Uniti precedenti. il nome del presidente Donald Trump, secondo Proofpoint. Un elemento notevole degli attacchi associati a DTPacker è che gli attori delle minacce hanno utilizzato posizioni di download a tema Liverpool Football Club. Il malware sembra essere utilizzato per impacchettare trojan di accesso remoto (RAT) progettato per rubare informazioni e caricare ulteriori payload, tra cui ransomware.
Cos'è DTPacker?
Il malware è stato descritto come un packer o downloader .NET a due fasi che utilizza anche una seconda fase con una password fissa come parte della decodifica. Dovremmo ricordare che c'è una differenza tra un packer e un downloader: la posizione dei dati del carico utile incorporati, incorporato in un packer e scaricato in un downloader. Proofpoint ha scoperto che DTPacker utilizza entrambi i moduli, il che lo rende un malware insolito.
Quali tipi di attacchi esegue DTPacker?
È stato osservato che DTPacker distribuisce più RAT e ladri di informazioni, come l'agente Tesla, Ave Maria, AsyncRAT, e FormBook. Inoltre, il malware ha utilizzato più tecniche di offuscamento per aggirare la protezione e l'analisi antivirus e sandbox. I ricercatori ritengono che sia distribuito su forum sotterranei.
Il pezzo è anche associato a più campagne e attori delle minacce, come TA2536 e TA2715, da 2020. DTPacker è molto probabilmente utilizzato sia da minacce persistenti avanzate che da attori di minacce informatiche. Le campagne analizzate includono migliaia di messaggi, e ha avuto un impatto su centinaia di clienti in più settori, Il rapporto di Proodpoint disse.
Nel mese di ottobre 2021, un altro caricatore di malware mai visto prima è stato rilevato in natura. Ciò che rende unico il Caricatore Wslink è la sua capacità di funzionare come server ed eseguire i moduli ricevuti in memoria. Nessun codice, funzionalità o somiglianze operative hanno suggerito che il caricatore è stato codificato da un noto attore di minacce. Il caricatore è stato utilizzato negli attacchi contro l'Europa centrale, Nord America, e il Medio Oriente.