Aktuelles, Branche - geschrieben von dp am Montag, Januar 24, 2022 18:21 - noch keine Kommentare
DTPacker: Neue Malware vereint Fähigkeiten zweier Schadsoftware-Formen
Im Rahmen Dutzender Malware-Kampagnen von verschiedenen cyber-kriminellen Gruppen zum Einsatz gebracht
[datensicherheit.de, 24.01.2022] Sicherheitsexperten von Proofpoint haben nach eigenen Angaben kürzlich eine neue Malware identifiziert, welche demnach im Rahmen Dutzender Kampagnen von verschiedenen cyber-kriminellen Gruppen zum Einsatz gebracht wurde – dieser neuentdeckten Malware gaben die Security-Forscher den Namen „DTPacker“. Bei dieser Schadsoftware handele es sich um einen Hybrid aus „Packer“ und „Downloader“, welcher von Cyber-Kriminellen zur Verbreitung verschiedener anderer Malware-Typen genutzt werde, darunter Remote-Access-Trojaner (RAT) und „Information Stealer“.
![proofpoint-verbreitung-malware dtpacker-600](https://www.datensicherheit.de/wp-content/uploads/proofpoint-verbreitung-malware-dtpacker-600.jpg)
Abbildung: proofpoint
proofpoint: üblicher DTPacker-Infektionsverlauf
Von Proofpoint entdeckte und analysierte Malware nutzt verschiedene Verschleierungstechniken
Üblicherweise ließen sich „Packer“ und „Downloader“ durch den Speicherort der eigentlichen „Payload“ unterscheiden:
„Während bei einem ,Packer‘ die ,Payload‘ bereits eingebettet ist, wird sie im Falle eines ,Downloaders‘ – wie der Name bereits verrät – erst aus dem Internet nachgeladen.“
Die nun von Proofpoint entdeckte und analysierte Malware, „DTPacker“, vereine hingegen diese beiden Fähigkeiten. Zudem nutze diese Schadsoftware verschiedene Verschleierungstechniken, um Antiviren-Programme, „Sandboxing“ und Analysen von Security-Experten zu umgehen.
Neue Malware seit 2020 in mehreren Kampagnen verbreitet
Proofpoint habe beobachten können, dass diese Malware „seit 2020 in mehreren Kampagnen verbreitet wurde“, welche mit verschiedenen Cybercrime-Gruppen wie „Threat Actor 2536“ (TA2536) und TA2715 in Verbindung habe gebracht werden können.
Ziel dieser Cyberkampagnen sei es gewesen, Opfer mit verschiedenen RAT und sogenannten „Information Stealers“ wie „Agent Tesla“, „Ave Maria“, „AsyncRAT“ und „FormBook“ zu infizieren.
Dabei seien Tausende Nachrichten versendet worden, welche auf Hunderte Unternehmen unterschiedlichster Branchen abgezielt hätten.
Bei Mehrzahl der Malware-Kampagnen erfolgt Verbreitung von DTPacker mittels Dateianhängen in E-Mails
Bei der Mehrzahl dieser Kampagnen erfolge die Verbreitung von „DTPacker“ mittels Dateianhängen in E-Mails. Hierbei präparierten die Cyber-Kriminellen „Office“-Dokumente bzw. eine komprimierte ausführbare Datei und versendeten diese als Anhang zu ihren Angriffs-Mails.
„Sobald ein Empfänger diese Dateien öffnet, wird die ausführbare Datei des Packers geladen. In der Folge dekodiert die Malware eine eingebettete oder heruntergeladene Ressource in eine DLL, die die eigentliche Malware-,Payload‘ enthält, und führt diese sodann aus.“
Ab März 2021 habe Proofpoint zudem Versionen der Malware beobachten können, bei denen als Download-Ressource der „Payload“ im Quellcode URLs genutzt worden seien, deren Domains zu gefälschten Webseiten von Fußballvereinen bzw. deren Fans geführt hätten. Als Vorlage habe den Cyber-Kriminellen hier insbesondere die Website des FC Liverpool gedient.
Weitere Informationen zum Thema:
proofpoint, 24.01.2022
DTPacker – a .NET Packer with a Curious Password
Aktuelles, Experten - Jul 25, 2024 16:32 - noch keine Kommentare
NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen
weitere Beiträge in Experten
- KI-Verordnung tritt am 1. August 2024 in Kraft
- Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten
- CrowdStrike: Ein IT-Update und es wackelt die ganze Welt
- IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024
- Digitale Pandemie: Chris Dimitriadis kommentiert IT-Sicherheitsvorfälle vom 19. Juli 2024
Aktuelles, Branche - Jul 26, 2024 1:00 - noch keine Kommentare
Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick
weitere Beiträge in Branche
- Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt
- Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich
- Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall
- Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit
- Vielfältige Cyber-Bedrohungen rund um die Olympischen Spiele 2024
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren