Aktuelles, Branche - geschrieben von dp am Montag, Januar 24, 2022 18:21 - noch keine Kommentare
DTPacker: Neue Malware vereint Fähigkeiten zweier Schadsoftware-Formen
Im Rahmen Dutzender Malware-Kampagnen von verschiedenen cyber-kriminellen Gruppen zum Einsatz gebracht
[datensicherheit.de, 24.01.2022] Sicherheitsexperten von Proofpoint haben nach eigenen Angaben kürzlich eine neue Malware identifiziert, welche demnach im Rahmen Dutzender Kampagnen von verschiedenen cyber-kriminellen Gruppen zum Einsatz gebracht wurde – dieser neuentdeckten Malware gaben die Security-Forscher den Namen „DTPacker“. Bei dieser Schadsoftware handele es sich um einen Hybrid aus „Packer“ und „Downloader“, welcher von Cyber-Kriminellen zur Verbreitung verschiedener anderer Malware-Typen genutzt werde, darunter Remote-Access-Trojaner (RAT) und „Information Stealer“.
proofpoint: üblicher DTPacker-Infektionsverlauf
Von Proofpoint entdeckte und analysierte Malware nutzt verschiedene Verschleierungstechniken
Üblicherweise ließen sich „Packer“ und „Downloader“ durch den Speicherort der eigentlichen „Payload“ unterscheiden:
„Während bei einem ,Packer‘ die ,Payload‘ bereits eingebettet ist, wird sie im Falle eines ,Downloaders‘ – wie der Name bereits verrät – erst aus dem Internet nachgeladen.“
Die nun von Proofpoint entdeckte und analysierte Malware, „DTPacker“, vereine hingegen diese beiden Fähigkeiten. Zudem nutze diese Schadsoftware verschiedene Verschleierungstechniken, um Antiviren-Programme, „Sandboxing“ und Analysen von Security-Experten zu umgehen.
Neue Malware seit 2020 in mehreren Kampagnen verbreitet
Proofpoint habe beobachten können, dass diese Malware „seit 2020 in mehreren Kampagnen verbreitet wurde“, welche mit verschiedenen Cybercrime-Gruppen wie „Threat Actor 2536“ (TA2536) und TA2715 in Verbindung habe gebracht werden können.
Ziel dieser Cyberkampagnen sei es gewesen, Opfer mit verschiedenen RAT und sogenannten „Information Stealers“ wie „Agent Tesla“, „Ave Maria“, „AsyncRAT“ und „FormBook“ zu infizieren.
Dabei seien Tausende Nachrichten versendet worden, welche auf Hunderte Unternehmen unterschiedlichster Branchen abgezielt hätten.
Bei Mehrzahl der Malware-Kampagnen erfolgt Verbreitung von DTPacker mittels Dateianhängen in E-Mails
Bei der Mehrzahl dieser Kampagnen erfolge die Verbreitung von „DTPacker“ mittels Dateianhängen in E-Mails. Hierbei präparierten die Cyber-Kriminellen „Office“-Dokumente bzw. eine komprimierte ausführbare Datei und versendeten diese als Anhang zu ihren Angriffs-Mails.
„Sobald ein Empfänger diese Dateien öffnet, wird die ausführbare Datei des Packers geladen. In der Folge dekodiert die Malware eine eingebettete oder heruntergeladene Ressource in eine DLL, die die eigentliche Malware-,Payload‘ enthält, und führt diese sodann aus.“
Ab März 2021 habe Proofpoint zudem Versionen der Malware beobachten können, bei denen als Download-Ressource der „Payload“ im Quellcode URLs genutzt worden seien, deren Domains zu gefälschten Webseiten von Fußballvereinen bzw. deren Fans geführt hätten. Als Vorlage habe den Cyber-Kriminellen hier insbesondere die Website des FC Liverpool gedient.
Weitere Informationen zum Thema:
proofpoint, 24.01.2022
DTPacker – a .NET Packer with a Curious Password
Aktuelles, Experten, Veranstaltungen - Okt 14, 2024 20:41 - noch keine Kommentare
Politisches Herbstforum der BfDI: Daten im Dienst der Patienten
weitere Beiträge in Experten
- ELITE 2.0 Wanderzirkus: OT-Awareness für KMU am 16. Oktober 2024
- Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
Aktuelles, Branche - Okt 24, 2024 19:11 - noch keine Kommentare
NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management
weitere Beiträge in Branche
- CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit
- Lazarus stahl Krypto-Währungen mittels Spyware: Kaspersky warnte Google vor Zero-Day-Exploit in Chrome
- Rückblicke und Ausblicke zur it-sa: Viel erreicht – und noch viel vor
- Konzeption einer Cyber-Sicherheitsstrategie – Dr. Martin Krämer zieht Lehren aus Bletchley Park
- it-sa Expo&Congress 2024 in Nürnberg mit reger Nachfrage gestartet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren