Um criptador baseado em .NET altamente difundido que passou despercebido desde cerca de 2015 e pode fornecer uma ampla gama de cargas maliciosas continua a evoluir rapidamente, com quase 10.000 amostras de código sendo carregadas no VirusTotal em um período de 16 meses.
Apelidado de “DarkTortilla”, o crypter geralmente entrega ladrões de informações e trojans de acesso remoto (RATs) como AgentTesla, AsyncRat, NanoCore e RedLine, embora algumas amostras tenham sido visto entregar cargas úteis direcionadas como Cobalt Strike e Metasploit, de acordo com pesquisadores da Counter Threat Unit (CTU) da Secureworks. e executáveis. O DarkTorilla também vem com uma variedade de controles projetados para dificultar a detecção, análise e eliminação dos caçadores de ameaças.
“Os pesquisadores geralmente ignoram o DarkTortilla e se concentram em sua carga útil principal”, o Analistas da CTU escreveram em um relatório divulgado na quarta-feira. “No entanto, o DarkTortilla é capaz de evitar a detecção, é altamente configurável e oferece uma ampla variedade de malwares populares e eficazes. Seus recursos e prevalência o tornam uma ameaça formidável.”
Um crypter é software projetado para criptografar, ofuscar e manipular malware para tornar mais difícil para os programas de segurança detectá-lo. De acordo com o fornecedor de segurança cibernética Trend Micro, os cibercriminosos usam crypters para criar malware que se apresenta como um programa inofensivo para obter o software de segurança e ser instalado em um sistema alvo. Os crypters criptografam um programa malicioso e remontam o código.
Normalmente, os crypters são enviados por meio de anexos em e-mails de spear phishing e mensagens de spam. A Secureworks, analisando amostras do VirusTotal, encontrou “inúmeras campanhas” que entregam o DarkTortilla por meio de e-mails de spam personalizados para a vítima. A carga maliciosa vem em um anexo com uma variedade de tipos de arquivo, de .zip e .iso a .img e .tar., de acordo com os pesquisadores da CTU, que viram amostras do e-mail escrito em inglês, alemão, romeno, espanhol e búlgaro.
Rob Pantazopoulos, pesquisador sênior de segurança da CTU, disse que é incomum para malware como DarkTortilla para estar ativo por tanto tempo e não ser detectado, mas que foi ajudado por estar entre vários crypters, carregadores e droppers baseados em .NET genéricos em estado selvagem. Além disso, muitos desses malwares são codificados usando ofuscadores de código como ConfuserEX, DeapSea e Eazfuscator.
“Como resultado, esses crypters são frequentemente ignorados pelos pesquisadores de segurança em favor de sua carga útil principal dado o alto custo e a baixa recompensa que a engenharia reversa do crypter provavelmente resultaria”, disse Pantazopoulos. em um relatório do ano passado por analistas da MalwareBytes sobre um downloader que eles chamaram de “Saint Bot” foram os componentes iniciais e do carregador e do processador principal do DarkTortilla que foram negligenciados no relatório.
Os pesquisadores do MalwareBytes também publicaram um relatório em 2015 sobre um novo criptografador .NET que ele disse que provavelmente era uma instância anterior do DarkTortilla baseada em algumas características compartilhadas, incluindo sua conexão .NET, uma configuração elaborada, a capacidade de exibir uma caixa de mensagem personalizada para a vítima e verificações de máquina antivirtual e sandbox. Mais pesquisas são necessárias para confirmar quaisquer links.
DarkTortilla inclui dois componentes – um executável baseado em .NET como carregador inicial e uma DLL baseada em .NET como processador central – necessários para lançar as cargas maliciosas. O carregador inicial decodifica, carrega e executa o processador central, que então extrai, descriptografa e analisa sua configuração. Ele também pode exibir a caixa de mensagem falsa, verificar VMs e sandboxes, implementar persistência e processar pacotes complementares. O processador central então injeta e executa a carga útil principal configurada e implementa seus controles anti-adulteração.
A ampla variedade de malware que ele fornece dá aos pesquisadores da CTU uma dica de como ele está sendo usado pelos cibercriminosos , de acordo com Pantazopoulos.
“Embora ainda não tenhamos identificado como e onde este criptador está sendo vendido, suspeitamos que ele esteja sendo vendido como um serviço”, disse ele. “Como resultado, os agentes de ameaças e as cargas correspondentes associadas ao crypter variam muito.”
O número de amostras de código DarkTortilla carregadas no VirusTotal entre janeiro de 2021 e maio de 2022 é significativamente maior do que Pantazopoulos normalmente vê. Em “retrohunts” de 365 dias no VirusTotal de uma família de malware popular, a CTU tende a ver algumas centenas até cerca de 2.000 acessos. Durante esses 16 meses, houve uma média de 93 amostras exclusivas do DarkTortilla por semana.
As semelhanças de código vistas no DarkTortilla sugerem possíveis links com outros malwares, incluindo um crypter atualizado pela última vez em 2016 e executado por o grupo de ameaças RATs Crew, que esteve ativo entre 2008 e 2012, bem como o Gameloader, malware que surgiu no ano passado e usa iscas de spam maliciosos semelhantes e também aproveita recursos .NET.
Apesar de ser por tanto tempo, DarkTortilla ainda está evoluindo.
“Sabemos que o crypter está sendo desenvolvido ativamente dadas as variações que vimos com o carregador inicial”, disse Pantazopoulos. “Especificamente, de aproximadamente maio de 2021 a dezembro de 2021, o carregador inicial do DarkTortilla foi alterado para recuperar seu processador central codificado de sites públicos de colagem . Antes e depois desse período de tempo, os processos principais codificados foram armazenados dentro dos recursos do executável do carregador inicial do DarkTortilla.”
Os pesquisadores da CTU também viram pequenas alterações feitas na DLL do processador principal, incluindo certos nomes de propriedade associados à análise da configuração do DarkTortilla, disse ele.
Os profissionais de segurança precisam prestar atenção ao DarkTortilla devido à sua difusão – como ilustrado pelo alto número de amostras de código no VirusTotal – e sua capacidade de evitar a detecção, sua configurabilidade e a ampla variedade de malwares populares que ele oferece. Como sua carga útil principal é executada na memória, nenhuma evidência da carga útil será encontrada no sistema de arquivos, o que Pantazopoulos disse ser uma técnica comum para evitar a detecção .
“O aspecto anti-adulteração do DarkTortilla garante que ele permaneça persistente em um ambiente”, disse ele. “Através de sua configuração elaborada, o DarkTortilla tem versatilidade que malware semelhante não tem. Ele pode ser configurado com várias cargas úteis, suporta vários tipos de persistência, é capaz de exibir uma caixa de mensagem personalizável para a vítima e pode migrar sua execução várias vezes durante a execução inicial.”
