Beveiligingsonderzoekers ontdekten een nieuwe malware-packer en loader. Nagesynchroniseerde DTPacker, de payload-decodering maakt gebruik van een vast wachtwoord dat voormalige US bevat. naam van president Donald Trump, volgens Proofpoint. Een opmerkelijk element van de aanvallen die verband houden met DTPacker is dat bedreigingsacteurs downloadlocaties met een Liverpool Football Club-thema gebruikten. De malware lijkt te worden gebruikt om trojans voor externe toegang in te pakken (RAT) ontworpen om informatie te stelen en verdere payloads te laden, waaronder ransomware.
Wat is DTPacker?
De malware is beschreven als een .NET-packer of -downloader in twee fasen die ook een tweede fase met een vast wachtwoord gebruikt als onderdeel van de decodering. We moeten vermelden dat er een verschil is tussen een packer en een downloader - de locatie van de ingebedde payload-gegevens, ingebed in een packer en gedownload in een downloader. Proofpoint ontdekte dat DTPacker beide formulieren gebruikt, waardoor het een ongebruikelijk stukje malware is.
Welke soorten aanvallen voert DTPacker uit??
Er is waargenomen dat DTPacker meerdere RAT's en informatie-stealers verspreidt, zoals Agent Tesla, ave Maria, AsyncRAT, en FormBook. Bovendien, de malware gebruikte meerdere verduisteringstechnieken om antivirus- en sandboxbescherming en analyse te omzeilen. Onderzoekers geloven dat het op ondergrondse forums wordt verspreid.
Het stuk wordt ook geassocieerd met meerdere campagnes en dreigingsactoren, zoals TA2536 en TA2715, sinds 2020. DTPacker wordt hoogstwaarschijnlijk gebruikt door zowel geavanceerde aanhoudende bedreigingen als cybercriminaliteitsbedreigingen. Geanalyseerde campagnes bevatten duizenden berichten, en had invloed op honderden klanten in meerdere industrieën, Het verslag van Proodpoint zei.
In oktober 2021, er is nog een niet eerder geziene malware-loader in het wild gedetecteerd. Wat is er uniek aan de Wslink-lader is de mogelijkheid om als een server te werken en ontvangen modules in het geheugen uit te voeren?. Geen code, functionaliteit of operationele overeenkomsten suggereerden dat de lader is gecodeerd door een bekende dreigingsactor. De lader werd gebruikt bij aanvallen op Centraal-Europa, Noord Amerika, en het Midden-Oosten.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: