DTPacker Malware

DTPacker es un malware bastante peculiar, ya que contiene funciones de empaquetador y también actúa como descargador. Tal combinación de métodos utilizados para entregar cargas útiles amenazantes en la próxima etapa es bastante inusual, por decir lo menos. Después de todo, los empaquetadores tienen los datos de la carga útil incorporados desde el principio, mientras que los descargadores obtienen la carga útil de un recurso en línea donde está alojado.

Los detalles sobre el malware se dieron a conocer al público en un informe de los investigadores que han estado siguiendo la amenaza desde 2020. Desde entonces, se ha observado a DTPacker como parte de numerosas operaciones de ataque para entregar una amplia gama de amenazas de próxima etapa. , como los ladrones de información ( Agent Tesla y FormBook ) y los troyanos de acceso remoto o RAT ( Ave Maria y AsyncRAT ). DTPacker también ha sido implementado por varios actores de amenazas diferentes, incluidos TA2536 y TA2715 e incluso grupos APT (Advanced Persistent Threat).

Detalles de DTPacker

La cadena de ataque de DTPacker generalmente comienza con la distribución de correos electrónicos de cebo que contienen un archivo adjunto armado. El archivo adjunto podría ser un documento dañado o un ejecutable comprimido. Cuando las víctimas intenten interactuar con el archivo, el ejecutable del empaquetador se entregará a sus computadoras. DTPacker se ejecuta en dos etapas y está equipado con varias técnicas de ofuscación para evitar análisis, entornos de pruebas y productos de seguridad antimalware.

La primera etapa de las acciones del malware incluye la decodificación de un recurso incrustado o descargado en una DLL. Luego, la segunda etapa extrae la carga útil de la DLL y procede a ejecutarla. La segunda etapa usa una clave fija que inicialmente era 'trump2020' pero versiones posteriores la cambiaron a una clave ASCII fija 'Trump2026'. El nombre del malware se basa en estas claves fijas.

También se debe tener en cuenta que los sitios web de señuelo fueron diseñados para aparecer como páginas legítimas de Liverpool FC y basadas en fanáticos. DTPacker usó estos sitios web como ubicaciones de descarga desde donde se obtuvieron las cargas útiles finales.