Daha önce belgesiz kötü amaçlı yazılım paketleyici DTPacker adlı DTPacker’ın, bilgileri yağmalamak ve takip eden saldırıları kolaylaştırmak için birden fazla uzaktan erişim truva atı (RAT) ve Agent Tesla, Ave Maria, AsyncRAT ve FormBook gibi bilgi hırsızları dağıttığı gözlemlendi.
Kurumsal güvenlik şirketi Proofpoint, “Kötü amaçlı yazılım, virüsten koruma, korumalı alan ve analizden kaçınmak için birden çok şaşırtma tekniği kullanıyor” söz konusu Pazartesi günü yayınlanan bir analizde. “Muhtemelen yer altı forumlarında dağıtılmıştır.”
.NET tabanlı emtia kötü amaçlı yazılım, 2020’den beri düzinelerce kampanya ve birden fazla tehdit grubuyla, hem gelişmiş kalıcı tehdit (APT) hem de siber suç aktörleriyle ilişkilendirildi ve birçok sektörde yüzlerce müşteriyi hedef aldı.
Paketleyiciyi içeren saldırı zincirleri, ilk enfeksiyon vektörü olarak kimlik avı e-postalarına güvenir. Mesajlar, kötü amaçlı bir belge veya açıldığında, kötü amaçlı yazılımı başlatmak için paketleyiciyi dağıtan sıkıştırılmış bir yürütülebilir ek içerir.
paketleyiciler indiricilerden farklıdır, çünkü ikincisinden farklı olarak, gerçek davranışlarını güvenlik çözümlerinden “ikiliyi korumak için bir zırh” görevi görecek ve tersine mühendisliği daha zor hale getirecek şekilde gizlemek için gizlenmiş bir yük taşırlar.
DTPacker’ı farklı kılan, her ikisi olarak da işlev görmesidir. Adı, nihai yükü çıkaran ve yürüten gömülü veya indirilmiş kaynağın kodunu çözmek için “trump2020” ve “Trump2026” olmak üzere iki Donald Trump temalı sabit anahtarı kullanması gerçeğinden türetilmiştir.
Kötü amaçlı yazılım ne politikacıları veya siyasi örgütleri hedef almak için ne de hedeflenen kurbanlar tarafından görülen anahtarlar olmadığından, yazarların neden eski ABD başkanına bu özel referansı seçtiğini şu anda bilinmiyor.
Proofpoint, operatörlerin Mart 2021’den itibaren kötü amaçlı yazılımı barındırmak için futbol fan kulübü web sitelerini yem olarak kullanmaya geçerek ince değişiklikler yaptığını gözlemlediğini söyledi. TA2536 ve TA2715 bundan bir yıl önce kendi kampanyalarında.
Kötü amaçlı yazılımın öngörülebilir bir süre için birden fazla tehdit aktörü tarafından kullanılmasını bekleyen araştırmacılar, “DTPacker’ın hem paketleyici hem de indirici olarak kullanılması ve bu tür benzersiz iki anahtarı kod çözmenin bir parçası olarak tutarken teslim ve şaşırtmadaki varyasyonu çok sıra dışı” dedi. gelecek.