Cuenta con sólidos controles anti-análisis y anti-manipulación
Los actores de amenazas han utilizado un evasivo encriptador basado en .NET llamado DarkTortilla para distribuir una amplia gama de malware básico, así como cargas útiles específicas como Cobalt Strike y Metasploit, probablemente desde 2015.
"También puede entregar 'paquetes complementarios', como cargas útiles maliciosas adicionales, documentos de señuelo benignos y ejecutables", dijo la firma de seguridad cibernética Secureworks en un informe del miércoles. "Cuenta con sólidos controles anti-análisis y anti-manipulación que pueden hacer que sean un desafío la detección, el análisis y la erradicación".
El malware entregado por el encriptador incluye hackers de información y troyanos de acceso remoto (RAT) como Agent Tesla, AsyncRat, NanoCore y RedLine Stealer. "DarkTortilla tiene una versatilidad que un malware similar no tiene", señalaron los investigadores.
Los encriptadores son herramientas de software que utilizan una combinación de encriptación, ofuscación y manipulación de códigos de malware para eludir la detección por parte de las soluciones de seguridad.
La entrega de DarkTortilla ocurre a través de correos electrónicos maliciosos no deseados que contienen archivos con un ejecutable para un cargador inicial que se usa para decodificar y ejecutar un módulo de procesador central, ya sea incrustado dentro de sí mismo o extraído de sitios de almacenamiento de texto como Pastebin.
Luego, el procesador central es responsable de establecer la persistencia e inyectar la carga útil principal del RAT en la memoria sin dejar rastro en el sistema de archivos a través de un elaborado archivo de configuración que también le permite soltar paquetes adicionales, incluidos registradores de teclas, ladrones de portapapeles y mineros de criptomonedas.
DarkTortilla es más notable por su uso de controles antimanipulación que aseguran que los procesos utilizados para ejecutar los componentes en la memoria se vuelvan a ejecutar inmediatamente después de la finalización.
Específicamente, la persistencia del cargador inicial se logra por medio de un segundo ejecutable denominado WatchDog que está diseñado para controlar el proceso designado y volver a ejecutarlo en caso de que se elimine.
Esta técnica recuerda a un mecanismo similar adoptado por un actor de amenazas llamado Moses Staff que, a principios de este año, se apoyó en un enfoque basado en un perro guardián (watchdog) para evitar cualquier interrupción de sus cargas útiles. También se emplean otros dos controles para garantizar la ejecución continua del propio ejecutable de WatchDog y la persistencia del cargador inicial.
Secureworks dijo que identificó un promedio de 93 muestras únicas de DarkTortilla cargadas en la base de datos de malware VirusTotal por semana durante un período de 17 meses desde enero de 2021 hasta mayo de 2022.
"DarkTortilla es capaz de evadir la detección, es altamente configurable y ofrece una amplia gama de popular y efectivo malware", concluyeron los investigadores. "Sus capacidades y prevalencia lo convierten en una amenaza formidable".
