DTPacker Malware

DTPacker est un malware assez particulier, car il contient à la fois des fonctionnalités de packer et agit comme un téléchargeur. Une telle combinaison de méthodes utilisées pour fournir des charges utiles menaçantes de la prochaine étape est assez inhabituelle, c'est le moins qu'on puisse dire. Après tout, les packers ont les données de charge utile intégrées dès le départ, tandis que les téléchargeurs récupèrent la charge utile à partir d'une ressource en ligne où elle est hébergée.

Des détails sur le logiciel malveillant ont été rendus publics dans un rapport des chercheurs qui suivent la menace depuis 2020. Depuis lors, DTPacker a été observé dans le cadre de nombreuses opérations d'attaque pour fournir un large éventail de menaces de la prochaine étape. , tels que les voleurs d'informations ( Agent Tesla et FormBook ) et les chevaux de Troie d'accès à distance ou RAT ( Ave Maria et AsyncRAT ). DTPacker a également été déployé par plusieurs acteurs de la menace différents, notamment TA2536 et TA2715 et même des groupes APT (Advanced Persistent Threat).

Détails de DTPacker

La chaîne d'attaque DTPacker commence généralement par la distribution d'e-mails appâts contenant une pièce jointe armée. Le fichier joint peut être un document corrompu ou un exécutable compressé. Lorsque les victimes essaient d'interagir avec le fichier, l'exécutable du packer sera livré à leurs ordinateurs. DTPacker fonctionne en deux étapes et est équipé de diverses techniques d'obscurcissement pour éviter l'analyse, les environnements de bac à sable et les produits de sécurité anti-malware.

La première étape des actions du logiciel malveillant comprend le décodage d'une ressource intégrée ou téléchargée dans une DLL. La deuxième étape extrait ensuite la charge utile de la DLL et procède à son exécution. La deuxième étape utilise une clé fixe qui était initialement « trump2020 », mais les versions ultérieures l'ont remplacée par une clé ASCII fixe « Trump2026 ». Le nom du malware est basé sur ces clés fixes.

Il convient également de noter que les sites Web leurres ont été conçus pour apparaître comme des pages légitimes du Liverpool FC et des fans. DTPacker a utilisé ces sites Web comme emplacements de téléchargement à partir desquels les charges utiles finales ont été récupérées.