DarkTortilla is een geavanceerde en zeer configureerbare crypter-malware die populaire infostealers en trojans voor externe toegang levert, waaronder AgentTesla, AsyncRAT, Redline en NanoCore.
Wat is de DarkTortilla-crypter??
Een crypter is een type software dat de mogelijkheid heeft om te coderen, verduisteren, en manipuleren malware. Deze manipulaties maken het moeilijker voor beveiligingsprogramma's om de malware te detecteren. Crypters worden vaak ingezet door malware-operators om hen te helpen antimalware- en beveiligingstoepassingen te omzeilen door te worden gepresenteerd als onschadelijke programma's.
De crypter is geschreven in .NET en bestaat al sinds augustus 2015. DarkTortilla is gebruikt in wijdverbreide malwarecampagnes, maar de nieuwste aanvallen leveren gerichte payloads op, zoals Cobalt Strike en Metasploit. De ontdekking komt van Secureworks Counter Threat Unit die meerdere monsters heeft geïdentificeerd. “Vanaf januari 2021 tot en met mei 2022, een gemiddelde van 93 unieke DarkTortilla-samples per week werden geüpload naar de VirusTotal-analyseservice,”Aldus het rapport.
Hoe worden de nieuwste campagnes van DarkTortilla uitgevoerd??
De primaire distributiemethode is kwaadaardige spam (malspam). Niet verrassend, de e-mails zijn ontworpen om de ontvanger te misleiden tot het openen van de kwaadaardige payload, verborgen in een archiefbijlage met bestandstypen inclusief .iso, .ritssluiting, .img, .dmg, en .tar. De e-mails zijn aangepast aan de taal van het doel, en kan in het Engels worden geschreven, Duits, Roemeense, Spaans, Italiaans, en Bulgaarse, zoals onthuld door de gedetecteerde monsters.
De crypter bestaat uit twee onderling verbonden componenten die de levering van de payload mogelijk maken: een op .NET gebaseerd uitvoerbaar bestand, wat is de initiële lader, en een op .NET gebaseerde DLL, of de kernprocessor.
De aanval begint met de uitvoering van de initiële lader die de gecodeerde kernprocessor ophaalt. Opgemerkt moet worden dat de initiële lader decodeert:, ladingen, en voert de kernprocessor uit die vervolgens extraheert, ontcijfert, en parseert de configuratie van de malware.
Afhankelijk van de configuratie van DarkTortilla, de kernprocessor is in staat tot het volgende::
- Een nepberichtvenster weergeven
- Antivirtuele machinecontroles uitvoeren
- Anti-sandboxcontroles uitvoeren
- Doorzettingsvermogen implementeren
- Uitvoering migreren naar de Windows %TEMP% directory via de “Smelten” configuratie-element
- Add-on-pakketten verwerken
- Uitvoering migreren naar de installatiemap
"Onderzoekers zien DarkTortilla vaak over het hoofd en concentreren zich op de belangrijkste lading. Echter, DarkTortilla kan detectie ontwijken, is zeer configureerbaar, en levert een breed scala aan populaire en effectieve malware. De mogelijkheden en prevalentie maken het een formidabele bedreiging," de onderzoekers gesloten.
Het is opmerkelijk dat Cobalt Strike wordt gedropt door verschillende malware-stukken, Inclusief LockBit ransomware en pymafka.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: