Onderzoekers hebben twee phishing-sites ontdekt - de ene vervalst een Cisco-webpagina en de andere vermomt zich als een grammaticale site - die bedreigingsactoren gebruiken om een bijzonder schadelijk stukje malware te verspreiden dat bekend staat als "DarkTortilla".
De op .NET gebaseerde malware kan worden geconfigureerd om verschillende payloads te leveren en staat bekend om de functies die het maken extreem onopvallend en volhardend op de systemen die het in gevaar brengt.
Meerdere bedreigingsgroepen gebruiken DarkTortilla sinds ten minste 2015 om informatiedieven en trojans voor externe toegang te laten vallen, zoals AgentTesla, AsyncRAT en NanoCore. Ook sommige ransomware-groepen, zoals de exploitanten van Babuk, hebben DarkTortilla gebruikt als onderdeel van hun payload-leveringsketen. In veel van deze campagnes hebben aanvallers voornamelijk schadelijke bestandsbijlagen (.zip, .img, .iso) in spam-e-mails gebruikt om nietsvermoedende gebruikers in de malware te stoppen.
DarkTortilla-bezorging via phishing-sites
Onlangs hebben onderzoekers van Cyble Research and Intelligence Labs een kwaadaardige campagne geïdentificeerd waarbij aanvallers twee phishing-sites gebruiken, die zich voordoen als legitieme sites, om de malware te verspreiden. Cyble vermoedde dat de exploitanten van de campagne waarschijnlijk spam-e-mail of online advertenties gebruiken om links naar de twee sites te verspreiden.
Gebruikers die de link naar de vervalste Grammarly-website volgen, downloaden uiteindelijk een kwaadaardig bestand met de naam "GnammanlyInstaller.zip" wanneer ze op de knop "Get Grammarly" klikken. Het .zip-bestand bevat een kwaadaardig installatieprogramma, vermomd als een grammaticaal uitvoerbaar bestand dat een tweede, gecodeerd 32-bits .NET-uitvoerbaar bestand laat vallen. Dat downloadt op zijn beurt een versleuteld DLL-bestand van een door een aanvaller gecontroleerde externe server. Het .NET-uitvoerbare bestand decodeert het gecodeerde DLL-bestand en laadt het in het geheugen van het gecompromitteerde systeem, waar het verschillende kwaadaardige activiteiten uitvoert, zei Cyble.
De phishingsite van Cisco ziet er ondertussen uit als een downloadpagina voor Cisco's Secure Client VPN-technologie. Maar wanneer een gebruiker op de knop klikt om het product te "bestellen", downloadt hij in plaats daarvan een kwaadaardig VC++-bestand van een externe, door een aanvaller bestuurde server. De malware activeert een reeks acties die eindigen met DarkTortilla geïnstalleerd op het gecompromitteerde systeem.
Cyclus analyse van de lading toonde de functies voor het inpakken van malware voor persistentie, procesinjectie, het uitvoeren van antivirus- en virtuele machine/sandbox-controles, het weergeven van valse berichten en het communiceren met de command-and-control (C2)-server en het downloaden van extra payloads ervan.
De onderzoekers van Cyble ontdekten dat DarkTortilla, om persistentie op een geïnfecteerd systeem te garanderen, een kopie van zichzelf in de opstartmap van het systeem plaatst en Run/Winlogin-registervermeldingen maakt. Als een extra persistentiemechanisme maakt DarkTortilla ook een nieuwe map met de naam "system_update.exe" op het geïnfecteerde systeem en kopieert zichzelf naar de map.
Geavanceerde en gevaarlijke malware
De functionaliteit voor nepberichten van DarkTortilla dient ondertussen in feite berichten om slachtoffers te laten geloven dat de Grammarly- of Cisco-toepassing die ze wilden niet kon worden uitgevoerd omdat bepaalde afhankelijke toepassingscomponenten niet beschikbaar waren op hun systeem.
"De DarkTortilla-malware is zeer geavanceerde op .NET gebaseerde malware die zich richt op gebruikers in het wild", aldus Cyble-onderzoekers in een advies van maandag. "De bestanden die van de phishing-sites zijn gedownload, vertonen verschillende infectietechnieken, wat aangeeft dat de [dreigingsactoren] een geavanceerd platform hebben dat in staat is om het binaire bestand aan te passen en te compileren met behulp van verschillende opties."
DarkTortilla fungeert, zoals gezegd, vaak als een eerste lader voor extra malware. Onderzoekers van de Counter Threat Unit van Secureworks identificeerden eerder dit jaar bedreigingsactoren die DarkTortilla gebruiken om een breed scala aan malware massaal te verspreiden, waaronder Remcos, BitRat, WarzoneRat, Snake Keylogger, LokiBot, QuasarRat, NetWire en DCRat.
Ze identificeerden ook enkele kwaadwillenden die de malware gebruikten om gerichte aanvallen uit te voeren Kobaltaanval en Metasploit post-compromis aanvalskits. Destijds zei Secureworks dat het ten minste 10,000 unieke DarkTortilla-samples had geteld sinds het voor het eerst een bedreigingsactor zag die de malware gebruikte in een aanval gericht op een kritieke kwetsbaarheid voor het uitvoeren van externe code in Microsoft Exchange (CVE-2021-34473) vorig jaar.
Secureworks beoordeelde DarkTortilla als zeer gevaarlijk vanwege de hoge mate van configureerbaarheid en het gebruik van open source-tools zoals CofuserEX en DeepSea om de code te verdoezelen. Het feit dat de belangrijkste payload van DarkTortilla volledig in het geheugen wordt uitgevoerd, is een ander kenmerk dat de malware gevaarlijk en moeilijk te herkennen maakt, merkte Securework destijds op.
