 Resumen: Un sofisticado criptor de robo de información está siendo utilizado por los ciberdelincuentes para distribuir troyanos de acceso remoto (RAT) y otras herramientas maliciosas.
Los investigadores de seguridad de Secureworks, han advertido sobre la existencia de un evasivo criptor basado en .NET, mejor conocido como DarkTortilla.
La herramienta fue detectada por primera vez el pasado mes de octubre, pero los investigadores creen que lleva activa al menos desde el 2015.
De acuerdo con el análisis del malware, DarkTortilla puede ser configurado para entregar numerosas cargas maliciosas, y también para cargar contenido ilegal en los sistemas de sus víctimas.
El criptor ya ha sido utilizado por los ciberdelincuentes para entregar ladrones de información y cargas útiles dirigidas, tales como Cobalt Strike y Metasploit. Ladrones de información comúnmente utilizados por DarkTortilla: AgentTesla AsyncRat NanoCore RedLine
La amplia gama de malware distribuida por DarkTortilla incluye herramientas populares como Remcos, BitRat, FormBook, WarzoneRat, Snake Keylogger, LokiBot, QuasarRat, NetWire y DCRat.
Lo que hace a este criptor tan peligroso es su configurabilidad, así como los diversos controles antianálisis que dificultan su detección.
Altamente evasivo y configurable, el criptor se ha convertido en una herramienta popular entre los ciberatacantes, con un promedio de 93 muestras enviadas cada semana. Normalmente, DarkTortilla se distribuye a través de correos electrónicos de spam, que llevan archivos adjuntos .dmg, .iso, .img, .tar o .zip.
Los correos son personalizados para que coincidan con el idioma particular del objetivo. Hasta ahora, han sido identificadas muestras en inglés, alemán, italiano, búlgaro, rumano y español.
Los documentos maliciosos se encargan de entregar el cargador inicial e invitan a la víctima a que haga doble click en él.
El cargador inicial está basado en .NET y se complementa con una DLL que representa el núcleo del procesador de DarkTortilla.
Más adelante, el cargador se decodifica, carga y ejecuta el procesador, para extraer la configuración cifrada que se encuentra dentro de los recursos .NET.
El procesador central del criptor puede ser configurado para mostrar un cuadro de mensajes, realizar comprobaciones anti-VM y anti-sandbox, lograr la persistencia, procesar los paquetes adicionales, entre otras cosas.
Dadas las capacidades del criptor, DarkTortilla debe ser considerada una amenaza de alto riesgo.
Dicho esto, se le insta a los administradores a mantener las mejores prácticas de ciberseguridad y a pasar por desapercibidos los correos electrónicos de spam.
Recomendaciones: Medidas para prevenir la descarga de malware Mantener sus dispositivos actualizados y parcheados Activar la autenticación de dos factores Evitar descargar archivos sospechosos No abrir enlaces desconocidos
Referencias: https://www.securityweek.com/evasive-darktortilla-crypter-delivers-rats-targeted-malware https://www.darkreading.com/vulnerabilities-threats/darktortilla-sophisticated-malware-rat-infections |
SÍGUENOS