Un previamente indocumentado empaquetador de malware Se ha observado que DTPacker, llamado DTPacker, distribuye múltiples troyanos de acceso remoto (RAT) y ladrones de información como Agent Tesla, Ave Maria, AsyncRAT y FormBook para saquear información y facilitar ataques de seguimiento.
«El malware utiliza múltiples técnicas de ofuscación para evadir el antivirus, el sandboxing y el análisis», empresa de seguridad empresarial Proofpoint. dicho en un análisis publicado el lunes. «Es probable que se distribuya en foros clandestinos».
El malware básico basado en .NET se ha asociado con docenas de campañas y múltiples grupos de amenazas, tanto amenazas persistentes avanzadas (APT) como actores de delitos cibernéticos, desde 2020, con intrusiones dirigidas a cientos de clientes en muchos sectores.
Las cadenas de ataque que involucran al empacador se basan en correos electrónicos de phishing como vector de infección inicial. Los mensajes contienen un documento malicioso o un archivo adjunto ejecutable comprimido que, cuando se abre, despliega el empaquetador para lanzar el malware.
empacadores se diferencian de los descargadores en que, a diferencia de estos últimos, llevan una carga útil ofuscada para ocultar su verdadero comportamiento de las soluciones de seguridad de una manera que actúa como una «armadura para proteger el binario» y dificulta la ingeniería inversa.
Lo que hace que DTPacker sea diferente es que funciona como ambos. Su nombre se deriva del hecho de que usó dos claves fijas con el tema de Donald Trump, «trump2020» y «Trump2026», para decodificar el recurso incrustado o descargado que finalmente extrae y ejecuta la carga útil final.
Actualmente no se sabe por qué los autores eligieron esta referencia específica al ex presidente de los EE. UU., ya que el malware no se usa para atacar a políticos u organizaciones políticas ni las víctimas objetivo ven las claves.
Proofpoint dijo que observó que los operadores hacían cambios sutiles al pasar a usar sitios web de clubes de fanáticos del fútbol como señuelos para alojar el malware a partir de marzo de 2021, con el empacador empleado por grupos como TA2536 y TA2715 en sus propias campañas un año antes.
«El uso de DTPacker como empaquetador y descargador y su variación en la entrega y la ofuscación mientras mantiene dos claves únicas como parte de su decodificación es muy inusual», dijeron los investigadores, que esperan que el malware sea utilizado por múltiples actores de amenazas por lo previsible. futuro.
