Wat hebben Donald Trump en de Engelse voetbalclub Liverpool met elkaar gemeen? In principe niet veel, zeker niet aangezien eerstgenoemde een paar jaar geleden in een interview zelfs zou hebben verteld dat hij de voorkeur geeft aan de grote rivaal van Liverpool: Manchester United.
Toch kwamen beiden onlangs naar voren bij onderzoek van Proofpoint naar cyberaanvallen rondom een nieuwe 'malware packer', genaamd DTPacker.
Een packer is software die malware comprimeert, codeert of versleutelt zonder de werking ervan te veranderen. Het is een veelgebruikte techniek onder cybercriminelen om detectiesystemen te omzeilen.
Proofpoint houdt dit soort bedreigen continu in de gaten en presenteert nu onderzoek naar een nieuwe malware packer, genaamd DTPacker. Dit onderzoek volgt op een eerdere blog, Commodity .NET Packers use Embedded Images to Hide Payloads, dat de "CyaX"- en "Hectobmp"-varianten van .NET packers beschrijft.
In deze nieuwe blog beschrijven onderzoekers van Proofpoint de werking van DTPacker, die de ongebruikelijke eigenschap heeft polymorf te zijn. Dit betekent dat hij zowel fungeert als packer en als downloader. Proofpoint ontdekte daarnaast het volgende:
- De payload werd gedecodeerd met een vast wachtwoord dat de naam van de voormalige Amerikaanse president Donald Trump bevatte;
- De DTPacker downloader-variant gebruikte gedurende enkele weken een nagemaakte website van Liverpool Football Club om zijn slachtoffers te misleiden;
- DTPacker is sinds 2020 in verband gebracht met tientallen campagnes en meerdere cybercriminele groepen, waaronder TA2536 en TA2715;
- Dit type schadelijke packer wordt doorgaans gebruikt om Remote Access Trojans te vermommen, zodat deze vervolgens kunnen worden gebruikt om informatie te stelen of payloads zoals ransomware te verspreiden.
