DarkTortilla は、人気のあるインフォスティーラーや、AgentTesla などのリモート アクセス トロイの木馬を配信する、洗練された高度に構成可能なクリプター マルウェアです。, AsyncRAT, レッドラインとナノコア.
DarkTortilla クリプターとは?
クリプターは、暗号化する機能を持つソフトウェアの一種です。, 難読化, そして操作する マルウェア. これらの操作により、セキュリティ プログラムがマルウェアを検出することが難しくなります。. クリプターは、無害なプログラムとして提示されることで、マルウェア対策やセキュリティ アプリケーションを迂回できるようにするために、マルウェア オペレーターによって展開されることがよくあります。.
クリプターは .NET で書かれており、少なくとも 8 月以降は存在しています。 2015. DarkTortilla は広範なマルウェア キャンペーンで使用されてきましたが、その最新の攻撃は Cobalt Strike や Metasploit などの標的型ペイロードを配信します. この発見は、複数のサンプルを特定した Secureworks Counter Threat Unit によるものです。. 「1月から 2021 5月まで 2022, 平均で 93 毎週ユニークな DarkTortilla サンプルが VirusTotal 分析サービスにアップロードされました,」レポートは言った.
DarkTortilla の最新のキャンペーンはどのように実行されますか?
主な配布方法は悪意のあるスパムです (マルスパム). 驚くことではないが, 電子メールは、受信者をだまして悪意のあるペイロードを開かせるように設計されています, .iso を含むファイル タイプのアーカイブ添付ファイルに隠されている, .ジップ, .img, .dmg, および.tar. メールはターゲットの言語に合わせてカスタマイズされています, そして英語で書くことができます, ドイツ人, ルーマニア語, スペイン語, イタリアの, とブルガリア語, 検出されたサンプルによって明らかにされたように.
クリプターは、ペイロードの配信を可能にする相互接続された 2 つのコンポーネントで構成されています: .NET ベースの実行可能ファイル, これは初期ローダーです, および .NET ベースの DLL, またはコアプロセッサ.
攻撃は、エンコードされたコア プロセッサを取得する初期ローダーの実行から始まります。. 初期ローダーがデコードすることに注意してください, 荷重, そして抽出するコアプロセッサを実行します, 解読する, マルウェアの構成を解析します.
DarkTortilla の構成に応じて, コアプロセッサは次のことができます:
- 偽のメッセージ ボックスを表示する
- アンチ仮想マシン チェックの実行
- アンチサンドボックス チェックの実行
- 持続性の実装
- 経由で実行を Windows %TEMP% ディレクトリに移行する “溶けた” 構成要素
- アドオン パッケージの処理
- 実行をそのインストール ディレクトリに移行する
「研究者はしばしば DarkTortilla を見落とし、その主なペイロードに注目します。. でも, DarkTortilla は検出を回避できます, 高度に構成可能です, 広く普及している効果的なマルウェアを幅広く配信. その機能と蔓延により、手ごわい脅威となっています,」研究者 結論.
Cobalt Strike がさまざまなマルウェアによって投下されていることは注目に値します, 含む LockBitランサムウェア と ピマフカ.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: