Ein .NET-basierter Evasive Crypter namens DarkTortilla wird von Bedrohungsakteuren wahrscheinlich seit 2015 verwendet, um eine breite Palette von Standard-Malware sowie gezielte Nutzlasten wie Cobalt Strike und Metasploit zu verbreiten.
Es kann auch „Zusatzpakete“ wie zusätzliche bösartige Nutzdaten, gutartige Täuschungsdokumente und ausführbare Dateien liefern“, so das Cybersecurity-Unternehmen Secureworks in einem Bericht vom Mittwoch. „Er verfügt über robuste Anti-Analyse- und Anti-Manipulations-Kontrollen, die die Erkennung, Analyse und Auslöschung erschweren können.
Zu den Schadprogrammen, die der Crypter verbreitet, gehören Informationsdiebe und Remote Access Trojaner (RATs) wie Agent Tesla, AsyncRat, NanoCore und RedLine Stealer. „DarkTortilla hat eine Vielseitigkeit, die ähnliche Malware nicht hat“, so die Forscher.
Crypter sind Software-Tools, die eine Kombination aus Verschlüsselung, Verschleierung und Code-Manipulation von Malware nutzen, um die Erkennung durch Sicherheitslösungen zu umgehen.
DarkTortilla wird über bösartige Spam-E-Mails verbreitet, die Archive mit einer ausführbaren Datei für einen ersten Lader enthalten, der ein Kernprozessormodul entschlüsselt und startet, das entweder in sich selbst eingebettet ist oder von Textspeichern wie Pastebin heruntergeladen wird.
Der Kernprozessor ist dann dafür verantwortlich, dass die primäre RAT-Nutzlast im Speicher verbleibt und keine Spuren im Dateisystem hinterlässt. Dies geschieht über eine ausgeklügelte Konfigurationsdatei, die es auch ermöglicht, Zusatzpakete wie Keylogger, Clipboard-Stealer und Cryptocurrency-Miner zu installieren.
DarkTortilla zeichnet sich außerdem durch die Verwendung von Anti-Tamper-Kontrollen aus, die sicherstellen, dass die Prozesse, die zur Ausführung der Komponenten im Speicher verwendet werden, nach dem Beenden sofort wieder gestartet werden.
Das Fortbestehen des ursprünglichen Loaders wird durch eine zweite ausführbare Datei, den so genannten WatchDog, erreicht, der den vorgesehenen Prozess überwacht und ihn erneut ausführt, wenn er beendet wird.
Diese Technik erinnert an einen ähnlichen Mechanismus des Bedrohungsakteurs Moses Staff, bei dem Anfang des Jahres festgestellt wurde, dass er sich auf einen Watchdog-Ansatz verlässt, um eine Unterbrechung seiner Nutzlast zu verhindern. Außerdem werden zwei weitere Kontrollmechanismen eingesetzt, um die fortgesetzte Ausführung der abgeworfenen WatchDog-Datei selbst und das Fortbestehen des ursprünglichen Laders zu gewährleisten.
Secureworks stellte fest, dass in einem Zeitraum von 17 Monaten, von Januar 2021 bis Mai 2022, durchschnittlich 93 DarkTortilla-Samples pro Woche in die VirusTotal Malware-Datenbank hochgeladen wurden.
„DarkTortilla ist in der Lage, sich der Erkennung zu entziehen, ist hochgradig konfigurierbar und liefert eine breite Palette an beliebter und effektiver Malware“, so die Forscher. „Seine Fähigkeiten und seine Verbreitung machen ihn zu einer ernstzunehmenden Bedrohung“.