Para peneliti telah menemukan dua situs phishing — satu memalsukan halaman web Cisco dan yang lainnya menyamar sebagai situs Grammarly — yang digunakan oleh pelaku ancaman untuk mendistribusikan malware yang sangat merusak yang dikenal sebagai “DarkTortilla.”
Malware berbasis .NET dapat dikonfigurasi untuk mengirimkan berbagai muatan dan dikenal dengan fungsi yang membuatnya sangat tersembunyi dan gigih pada sistem yang dikompromikannya.
Beberapa kelompok ancaman telah menggunakan DarkTortilla setidaknya sejak 2015 untuk menjatuhkan pencuri informasi dan Trojan akses jarak jauh, seperti AgentTesla, AsyncRAT, dan NanoCore. Beberapa grup ransomware juga — seperti operator Babuk — telah menggunakan DarkTortilla sebagai bagian dari rantai pengiriman muatan mereka. Dalam banyak kampanye ini, penyerang terutama menggunakan lampiran file berbahaya (.zip, .img, .iso) dalam email spam untuk membungkus pengguna yang tidak curiga dengan malware.
Pengiriman DarkTortilla Melalui Situs Phishing
Baru-baru ini, para peneliti di Cyble Research and Intelligence Labs mengidentifikasi kampanye jahat di mana pelaku ancaman menggunakan dua situs phishing, menyamar sebagai situs yang sah, untuk mendistribusikan malware. Cyble menduga bahwa operator kampanye kemungkinan besar menggunakan email spam atau iklan online untuk mendistribusikan tautan ke dua situs tersebut.
Pengguna yang mengikuti tautan ke situs web Grammarly palsu akhirnya mengunduh file berbahaya bernama "GnammanlyInstaller.zip" saat mereka mengeklik tombol "Dapatkan Tata Bahasa". File .zip berisi penginstal berbahaya yang disamarkan sebagai executable Grammarly yang menjatuhkan file .NET 32-bit terenkripsi kedua yang dapat dieksekusi. Itu pada gilirannya mengunduh file DLL terenkripsi dari server jarak jauh yang dikendalikan penyerang. Eksekusi .NET mendekripsi file DLL terenkripsi dan memuatnya ke dalam memori sistem yang dikompromikan, di mana ia mengeksekusi berbagai aktivitas jahat, kata Cyble.
Sementara itu, situs phishing Cisco tampak seperti halaman pengunduhan untuk teknologi VPN Klien Aman Cisco. Tetapi ketika pengguna mengklik tombol untuk "memesan" produk, mereka malah mengunduh file VC++ berbahaya dari server yang dikendalikan penyerang jarak jauh. Malware memicu serangkaian tindakan yang diakhiri dengan DarkTortilla terinstal di sistem yang disusupi.
milik Cyble analisa muatan menunjukkan fungsi pengepakan malware untuk kegigihan, proses injeksi, melakukan pemeriksaan antivirus dan mesin virtual/kotak pasir, menampilkan pesan palsu, dan berkomunikasi dengan server perintah-dan-kontrol (C2) dan mengunduh muatan tambahan darinya.
Peneliti Cyble menemukan bahwa untuk memastikan kegigihan pada sistem yang terinfeksi misalnya, DarkTortilla memasukkan salinan dirinya ke dalam folder Startup sistem dan membuat entri registri Run/Winlogin. Sebagai mekanisme persistensi tambahan, DarkTortilla juga membuat folder baru bernama “system_update.exe” pada sistem yang terinfeksi dan menyalin dirinya sendiri ke dalam folder tersebut.
Malware Canggih & Berbahaya
Sementara itu, fungsi pesan palsu DarkTortilla pada dasarnya menyajikan pesan untuk mengelabui korban agar percaya bahwa aplikasi Grammarly atau Cisco yang mereka inginkan gagal dijalankan karena komponen aplikasi dependen tertentu tidak tersedia di sistem mereka.
“Malware DarkTortilla adalah malware berbasis .NET yang sangat canggih yang menargetkan pengguna di alam liar,” kata peneliti Cyble dalam penasehat hari Senin. “File yang diunduh dari situs phishing menunjukkan teknik infeksi yang berbeda, menunjukkan bahwa [aktor ancaman] memiliki platform canggih yang mampu menyesuaikan dan menyusun biner menggunakan berbagai opsi.”
DarkTortilla, seperti yang disebutkan, sering bertindak sebagai pemuat tahap pertama untuk malware tambahan. Peneliti dari Counter Threat Unit Secureworks awal tahun ini mengidentifikasi aktor ancaman yang menggunakan DarkTortilla untuk mendistribusikan secara massal berbagai malware termasuk, Remcos, BitRat, WarzoneRat, Snake Keylogger, LokiBot, QuasarRat, NetWire, dan DCRat.
Mereka juga mengidentifikasi beberapa musuh yang menggunakan malware dalam serangan yang ditargetkan untuk dikirimkan Cobalt Strike dan kit serangan pasca-kompromi Metasploit. Pada saat itu, Secureworks mengatakan telah menghitung setidaknya 10,000 sampel unik DarkTortilla sejak pertama kali melihat pelaku ancaman menggunakan malware dalam serangan yang menargetkan kerentanan eksekusi kode jarak jauh Microsoft Exchange yang kritis (CVE-2021-34473) tahun lalu.
Secureworks menilai DarkTortilla sangat berbahaya karena tingkat konfigurasinya yang tinggi dan penggunaan alat sumber terbuka seperti CofuserEX dan DeepSea untuk mengaburkan kodenya. Fakta bahwa muatan utama DarkTortilla dijalankan seluruhnya di memori adalah fitur lain yang membuat malware berbahaya dan sulit dikenali, catat Secureworks saat itu.
