DTPacker Malware

DTPackerは、パッカー機能とダウンローダーとしての機能の両方を備えているため、かなり特殊なマルウェアです。控えめに言っても、次の段階の脅威となるペイロードを配信するために利用されるこのような方法の組み合わせは非常に珍しいものです。結局のところ、パッカーは最初からペイロードデータを埋め込んでいますが、ダウンローダーはそれがホストされているオンラインリソースからペイロードをフェッチします。

マルウェアの詳細は、2020年から脅威を追跡している研究者によるレポートで公開されました。それ以来、DTPackerは、さまざまな次の段階の脅威を提供するための多数の攻撃操作の一部として観察されてきました。 、 infostealers （Agent TeslaおよびFormBook）やリモートアクセス型トロイの木馬またはRAT（ Ave MariaおよびAsyncRAT ）など。 DTPackerは、TA2536やTA2715、さらにはAPT（Advanced Persistent Threat）グループなど、いくつかの異なる脅威アクターによっても展開されています。

DTPackerの詳細

DTPacker攻撃チェーンは通常、武器化された添付ファイルを運ぶベイトメールの配布から始まります。添付ファイルは、破損したドキュメントまたは圧縮された実行可能ファイルである可能性があります。被害者がファイルを操作しようとすると、packer実行可能ファイルがコンピュータに配信されます。 DTPackerは2段階で実行され、分析、サンドボックス環境、およびマルウェア対策セキュリティ製品を回避するためのさまざまな難読化手法を備えています。

マルウェアのアクションの最初の段階には、埋め込まれたリソースまたはダウンロードされたリソースのDLLへのデコードが含まれます。次に、第2段階では、DLLからペイロードを抽出し、実行に進みます。第2段階では、最初は「trump2020」であった固定キーを使用しますが、その後のバージョンでは、固定ASCIIキー「Trump2026」に切り替えました。マルウェアの名前は、これらの固定キーに基づいています。

おとりのWebサイトは、正規のリバプールFCおよびファンベースのページとして表示されるように設計されていることにも注意してください。 DTPackerは、これらのWebサイトを、最終的なペイロードがフェッチされたダウンロード場所として使用しました。