Malware Packer ‘Donald Trump’ yang Tidak Biasa Menghadirkan RAT, Infostealer

A .NET malware packer baru yang digunakan untuk mengirimkan berbagai trojan akses jarak jauh (RAT) dan infostealer memiliki kata sandi tetap yang dinamai Donald Trump, memberi nama baru untuk penemuannya, “DTPacker.”

DTPacker ditemukan oleh para peneliti di Proofpoint yang, sejak tahun 2020, telah diamati bahwa itu digunakan oleh beberapa aktor ancaman dalam kampanye yang menargetkan ratusan ribu pengguna akhir dengan ribuan pesan jahat di banyak sektor.

Satu kampanye terkenal, yang berlangsung selama berminggu-minggu, menggunakan situs Liverpool Football Club (LFC) palsu untuk memikat pengguna untuk mengunduh DTPacker, yang pada akhirnya memberikan Agen Tesla, para peneliti menemukan. Ave Maria, AsyncRAT dan FormBook juga telah disebarkan oleh DTPacker, menurut report.
Decoy Senin, halaman LFC palsu. Sumber: Proofpoint.

“Dari Maret 2021, Proofpoint mengamati sampel menggunakan situs web untuk klub sepak bola dan penggemar mereka digunakan sebagai lokasi unduhan,” kata laporan itu. “Situs web ini tampaknya telah menjadi umpan, dengan lokasi muatan yang sebenarnya tertanam dalam daftar.”

Tim ProofPoint yang menemukan DTPacker melaporkan bahwa malware tersebut terkenal karena mengirimkan muatan yang disematkan (pengemas), serta yang diambil dari server perintah-dan-kontrol (pengunduh). Tahap kedua mencakup kata sandi tetap untuk decoding, yang dalam semua instance DTPacker, merujuk ke mantan presiden.

DTPacker’s Dual-Payload Delivery

“Perbedaan utama antara pengepak dan pengunduh adalah lokasi data muatan, yang tertanam di dalam yang pertama dan diunduh di yang terakhir, ”kata para analis. Menurut laporan. Versi DTPacker sebelumnya menggunakan “trump2020,” tetapi mulai Agustus lalu, versi yang menggunakan “Trump2026,” muncul, tambah perusahaan itu.

Para peneliti memperkirakan bahwa malware DTPacker akan terus digunakan oleh pelaku ancaman dan diperdagangkan di forum bawah tanah.

” Tidak diketahui mengapa pembuat malware secara khusus merujuk Donald Trump dalam kata sandi tetap malware, karena tidak digunakan untuk secara khusus menargetkan politisi atau organisasi politik dan tidak akan terlihat oleh korban yang dituju, ”tambah para analis. “Proofpoint menilai malware ini akan terus digunakan oleh banyak pelaku ancaman.”
Tulis komentar
Bagikan artikel ini:

  • Malwareliu
      iKeamanan Web