Neue Malware vereint Fähigkeiten zweier Formen von Schadsoftware

Lesezeit
1 Minute
Bis jetzt gelesen

Neue Malware vereint Fähigkeiten zweier Formen von Schadsoftware

24.01.2022 - 15:14
Veröffentlicht in:
Sicherheitsexperten von Proofpoint haben eine neue Malware namens DTPacker identifiziert, die bei dutzenden Kampagnen verschiedener cyberkrimineller Gruppen zum Einsatz kam. Bei dieser Schadsoftware handelt es sich um einen Hybrid aus Packer und Downloader, der zur Verbreitung verschiedener anderer Malware-Typen genutzt wird, darunter Remote-Access-Trojaner und Information Stealer.
Üblicherweise lassen sich Packer und Downloader durch den Speicherort der eigentlichen Payload unterscheiden. Während bei einem Packer die Payload bereits eingebettet ist, wird sie im Falle eines Downloaders – wie der Name bereits verrät – erst aus dem Internet nachgeladen. Die nun von Proofpoint entdeckte und analysierte Malware, DTPacker, vereint hingegen diese beiden Fähigkeiten. Zudem nutzt die Schadsoftware verschiedene Verschleierungstechniken, um Antivirenprogramme, Sandboxing und Analysen von Security-Experten zu umgehen.

Proofpoint [1] konnte nach eigenen Angaben beobachten, dass die Malware seit 2020 in mehreren Kampagnen verbreitet wurde, die mit verschiedenen Cybercrime-Gruppen wie TA2536 (Threat Actor 2536) und TA2715 in Verbindung gebracht werden können. Ziel der Cyberkampagnen war es, Opfer mit verschiedenen RAT und Information Stealern wie Agent Tesla, Ave Maria, AsyncRAT und FormBook zu infizieren. Dabei wurden tausende Nachrichten versendet, die auf hunderte Unternehmen unterschiedlichster Branchen abzielten.

Bei der Mehrzahl dieser Kampagnen erfolgt die Verbreitung von DTPacker mittels Dateianhängen in E-Mails. Hierbei präparieren die Cyberkriminellen Office-Dokumente bzw. eine komprimierte ausführbare Datei und versenden diese als Anhang zu ihren Angriffs-Mails. Sobald ein Empfänger diese Dateien öffnet, wird die ausführbare Datei des Packers geladen. In der Folge dekodiert die Malware eine eingebettete oder heruntergeladene Ressource in eine DLL, die die eigentliche Malware-Payload enthält, und führt diese sodann aus.

Ab März 2021 konnte Proofpoint zudem Versionen der Malware beobachten, bei denen als Downloadressource der Payload im Quellcode URLs genutzt wurden, deren Domains zu gefälschten Webseiten von Fußballvereinen bzw. deren Fans führten. Als Vorlage diente den Cyberkriminellen hier insbesondere die Homepage des FC Liverpool.

dr

[1] https://www.proofpoint.com/us/blog/threat-insight/dtpacker-net-packer-curious-password-1

Tags

Ähnliche Beiträge

Exchange ungeschützt im Visier Lars Nitsch Di., 26.03.2024 - 13:09
Mindestens 17.000 Instanzen von Microsoft-Exchange-Servern in Deutschland sind durch eine oder mehrere kritische Schwachstellen verwundbar. Hinzu kommt eine Dunkelziffer an Exchange-Servern in vergleichbarer Größe, die potenziell verwundbar sind. Das geht aus einer aktuellen Untersuchung des Bundesamts für Sicherheit in der Informationstechnik hervor.
Mehr Transparenz bei Benutzeraktivitäten Lars Nitsch Mo., 25.03.2024 - 09:41
BeyondTrust hat Version 24.1 von "Endpoint Privilege Management für Windows & Mac" veröffentlicht. Die Enterprise-Software zur Durchsetzung von Least-Privilege-Strategien und granularer Applikationskontrolle soll im aktuellen Release mit neuen Funktionen für höhere Benutzerfreundlichkeit und optimierte Arbeitsabläufe sorgen.
Keeper Security mit Updates für mehr administrative Kontrolle Lars Nitsch Fr., 22.03.2024 - 08:51
Keeper Security, Anbieter von Zero-Trust- und Zero-Knowledge-Software zum Schutz von Anmeldedaten, privilegiertem Zugang und Remote-Verbindungen hat die Benutzeroberfläche seiner Admin-Konsole optimiert und das Onboarding überarbeitet. Die Updates stellen eine direkte Reaktion auf die Rückmeldungen der Benutzer-Community dar.