Peneliti Merinci Evasive DarkTortilla Crypter Digunakan untuk Mengirimkan Malware

  • Bagikan
DarkTortilla Crypter

Beritaini.top Peneliti Merinci Evasive DarkTortilla Crypter Digunakan untuk Mengirimkan Malware

Enkripsi DarkTortilla

Sebuah crypter mengelak berbasis .NET bernama Tortila Gelap telah digunakan oleh pelaku ancaman untuk mendistribusikan beragam malware komoditas serta muatan yang ditargetkan seperti Cobalt Strike dan Metasploit, kemungkinan besar sejak 2015.

“Itu juga dapat memberikan ‘paket tambahan’ seperti muatan berbahaya tambahan, dokumen umpan jinak, dan yang dapat dieksekusi,” firma keamanan siber Secureworks dikatakan dalam laporan Rabu. “Ini fitur kontrol anti-analisis dan anti-tamper yang kuat yang dapat membuat deteksi, analisis, dan pemberantasan menjadi menantang.”

Malware yang dikirimkan oleh crypter termasuk information steaker dan remote access trojan (RAT) seperti Agen Tesla, AsyncRat, NanoCore, dan RedLine Stealer. “DarkTortilla memiliki keserbagunaan yang tidak dimiliki malware serupa,” catat para peneliti.

Keamanan cyber

Crypter adalah alat perangkat lunak yang menggunakan kombinasi enkripsi, pengaburan, dan manipulasi kode malware untuk menghindari deteksi oleh solusi keamanan.

Pengiriman DarkTortilla terjadi melalui email spam berbahaya yang berisi arsip dengan executable untuk pemuat awal yang digunakan untuk memecahkan kode dan meluncurkan modul prosesor inti yang tertanam di dalamnya atau diambil dari situs penyimpanan teks seperti Pastebin.

Enkripsi DarkTortilla

Prosesor inti kemudian bertanggung jawab untuk membangun kegigihan dan menyuntikkan muatan RAT utama ke dalam memori tanpa meninggalkan jejak pada sistem file melalui file konfigurasi yang rumit yang juga memungkinkannya untuk menjatuhkan paket tambahan, termasuk keylogger, pencuri clipboard, dan penambang cryptocurrency .

DarkTortilla lebih penting untuk penggunaan kontrol anti-tamper yang memastikan kedua proses yang digunakan untuk mengeksekusi komponen dalam memori segera dijalankan kembali setelah penghentian.

Secara khusus, kegigihan pemuat awal dicapai melalui executable kedua yang disebut sebagai WatchDog yang dirancang untuk mengawasi proses yang ditentukan dan menjalankannya kembali jika dihentikan.

Keamanan cyber

Teknik ini mengingatkan pada mekanisme serupa yang diadopsi oleh aktor ancaman bernama Moses Staff, yang, awal tahun ini, ditemukan mengandalkan pendekatan berbasis pengawas untuk mencegah gangguan apa pun pada muatannya. Juga digunakan dua kontrol lain untuk menjamin kelanjutan eksekusi dari WatchDog yang dapat dieksekusi itu sendiri dan kegigihan untuk pemuat awal.

Secureworks mengatakan mereka mengidentifikasi rata-rata 93 sampel DarkTortilla unik yang diunggah ke basis data malware VirusTotal per minggu selama periode 17 bulan dari Januari 2021 hingga Mei 2022.

“DarkTortilla mampu menghindari deteksi, sangat dapat dikonfigurasi, dan memberikan berbagai malware populer dan efektif,” para peneliti menyimpulkan. “Kemampuan dan prevalensinya menjadikannya ancaman yang tangguh.”

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.