La decodifica del payload scoperto da Proofpoint utilizza una password fissa contenente il nome dell’ex presidente degli Stati Uniti Donald Trump.

Proofpoint

I ricercatori di Proofpoint hanno analizzato un packer o downloader commodity .NET a due stadi che, sebbene sia caratterizzato da una notevole varietà nel primo stadio, nel secondo utilizza una password fissa come parte della decodifica.

La differenza principale tra un packer e un downloader è la posizione dei dati del payload, che è incorporato nel primo e viene scaricato nel secondo. DTPacker utilizza entrambe le forme. È insolito identificare un malware che sia al tempo stesso packer e downloader.

Proofpoint ha rilevato come DTPacker distribuisca numerosi trojan di accesso remoto (RAT) e stealer di informazioni, tra cui Agent Tesla, Ave Maria, AsyncRAT e FormBook. Il malware utilizza molteplici tecniche di offuscamento per eludere antivirus, sandboxing e analisi ed è probabile che sia distribuito su forum underground. Proofpoint ha osservato DTPacker associato a dozzine di campagne e molteplici attori di minacce, tra cui TA2536 e TA2715 dal 2020 e utilizzato sia da advanced persistent threat (APT) che da cybercriminali. Le campagne identificate includevano migliaia di messaggi, che hanno colpito centinaia di clienti in diversi settori.

L’uso di DTPacker come packer e downloader e la sua varietà nel metodo di consegna e offuscamento, mantenendo due chiavi uniche come parte della sua decodifica, è molto insolito.

Non si conosce la motivazione per cui l’autore del malware si sia riferito specificamente a Donald Trump nelle password fisse del malware, visto che non è utilizzato per colpire nello specifico figure o organizzazioni politiche e non sarebbe stata visualizzata dalle vittime in target. Proofpoint ritiene che questo malware continuerà a essere veicolato da molteplici attori di minacce.