¿Qué tienen en común Donald Trump y el Liverpool Football Club? En teoría, no mucho, sobre todo porque se dice que el primero confesó en una entrevista hace unos años que prefiere al gran rival del club de Liverpool…
Sin embargo, ambos estaban involucrados en campañas maliciosas basadas en un nuevo packer o empaquetador de malware, identificado por Proofpoint como DTPacker.
Como parte de su seguimiento de este tipo de amenazas, Proofpoint acaba de publicar los resultados de un estudio que identifica un nuevo empaquetador de malware, llamado DTPacker. Esta investigación es la continuación de una publicada anteriormente, en el que se describían las familias de packers .NET «CyaX» y «Hectobmp».
En su nuevo informe, los investigadores de Proofpoint describen el funcionamiento de DTPacker, que tiene la inusual característica de ser polimórfico, es decir, incluye tanto funciones de compresión como de descarga de archivos. Entre los principales hallazgos de la investigación destacan:
- La carga útil iba protegida con una contraseña fija que contenía el nombre del ex presidente de Estados Unidos, Donald Trump
- Durante varias semanas, la variante «downloader» de DTPacker utilizó una página de inicio falsa del Liverpool Football Club para engañar a sus víctimas
- DTPacker ha sido asociado con docenas de campañas y múltiples actores de amenazas, incluyendo TA2536 y TA2715, desde 2020. DTPacker también ha sido utilizado tanto en la distribución de APTs (amenazas persistentes avancadas o Advanced Persistent Threat) como por grupos de cibercriminales
- Este tipo de empaquetador se utiliza normalmente para enmascarar troyanos de acceso remoto que luego pueden ser utilizados para robar información o gestionar cargas útiles como el ransomware.
Las campañas que utilizan DTPacker identificadas por los investigadores de Proofpoint incluyen miles de mensajes y han afectado a cientos de usuarios de múltiples sectores.
“DTPacker es utilizado por múltiples autores de amenazas, tanto de APT como de crimeware. Además, su uso como cargador y empaquetador que conduce a múltiples infecciones de malware demuestra que puede ser personalizado en función de las necesidades de cada grupo de cibercriminales”, señala Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de Proofpoint.