O Cyble Research and Intelligence Labs (CRIL) detectou atores de ameaças (TAs) distribuindo o malware DarkTortilla. Desde 2015, o complexo malware baseado em .NET conhecido como DarkTortilla está em operação.
Os pesquisadores dizem que vários ladrões e Trojans de acesso remoto (RATs), incluindo AgentTesla, AsyncRAT, NanoCore, etc., são conhecidos por serem eliminados pelo malware.
DarkTortilla e suas ações especĂficas
Pesquisadores de segurança descreveram a propagação do DarkTortilla aos usuários por meio de e-mails de spam com anexos maliciosos. No entanto, o CRIL descobriu que os Threat Actors (TAs) responsáveis ​​pelo DarkTortilla criaram sites de phishing para espalhar o malware.
“Identificamos dois sites de phishing disfarçados de sites legĂtimos da Grammarly e da Cisco. O link dos sites de phishing pode chegar aos usuários via e-mail de spam ou anĂşncios online, etc., para infectar os usuários”, CRIL
A infecção do DarkTortilla é ainda mais facilitada pelas amostras maliciosas baixadas dos sites de phishing. As amostras obtidas nos dois sites de phishing usam vários métodos de infecção para espalhar o malware DarkTortilla.
Com base na análise técnica, o site de phishing Grammarly baixa um arquivo zip malicioso chamado “GnammanlyInstaller.zip” quando o usuário clica no botão “Obter Grammarly”. O arquivo zip contém ainda um arquivo de gabinete malicioso, “GnammanlyInstaller.ce9rah8baddwd7jse1ovd0e01.exe”, disfarçando-se como um executável Grammarly.
Após a execução, o executável .NET baixa um arquivo criptografado do servidor remoto e o descriptografa usando Lógica RC4, e executa-o na memória.
O arquivo DLL, que atua como carga final do malware e executa operações maliciosas adicionais no sistema, é então carregado na memória pelo malware.
Os pesquisadores mencionam que o malware modifica o caminho de destino dos arquivos .LNK das vĂtimas para manter sua persistĂŞncia.
“O site de phishing da CISCO baixa um arquivo da URL “hxxps://cicsom.com/download/TeamViewerMeeting_Setup_x64.exe” que é um binário compilado VC++”, CRIL
Quando o malware Ă© executado, ele executa uma sĂ©rie de instruções MOV que copiam o conteĂşdo criptografado na pilha para uso em operações maliciosas adicionais. Este mĂ©todo de evitar a detecção de antivĂrus Ă© empregado pelo malware.
O malware executa um loop de descriptografia no conteúdo criptografado para obter o arquivo Portable Executable (PE), cria uma nova chave de registro e copia o arquivo PE descriptografado como um valor binário
O mecanismo PowerShell é usado pelo malware, onde cria uma entrada do agendador de tarefas como mecanismo de persistência. Além disso, a verificação antivirtual da máquina é realizada pelo malware para determinar se o arquivo está sendo executado em um ambiente gerenciado como VMware, Vbox, etc.
“Os TAs usam sites de phishing typosquatted para entregar o malware DarkTortilla. Os arquivos baixados dos sites de phishing apresentam diferentes técnicas de infecção, indicando que os TAs deveriam possuir uma plataforma sofisticada capaz de customizar e compilar o binário utilizando diversas opções”, CRIL
Recomendações
- NĂŁo abra links suspeitos em e-mails.
- Não baixe o software de fontes não confiáveis.
- Use um pacote de software antivĂrus e de segurança de Internet de renome em seus dispositivos conectados, incluindo PC, laptop e celular.
- Evite abrir links e anexos de e-mail não confiáveis ​​sem verificar sua autenticidade.
