Тортилла хранит «золотой ключик» от вашего компьютера

Тортилла хранит «золотой ключик» от вашего компьютера

DarkTortilla способна избежать обнаружения, легко настраивается и предоставляет широкий спектр эффективных вредоносных программ.

Согласно отчету Secureworks , шифровальщик DarkTortilla на базе .NET как минимум с 2015 года распространяет огромное количество вредоносных программ, а также полезных нагрузок Cobalt Strike и Metasploit.

Для заражения шифровальщик использует вредоносные документы-приманки и исполняемые файлы. Он оснащен надежными средствами защиты от анализа и несанкционированного доступа, которые могут затруднить обнаружение и уничтожение.

Вредоносное ПО, доставляемое шифровальщиком, включает в себя инфостилеры и трояны удаленного доступа RAT Agent Tesla , AsyncRat , NanoCore и RedLine Stealer .

DarkTortilla включает в себя два компонента – исполняемый файл на базе .NET в качестве начального загрузчика и DLL-библиотеку на базе .NET в качестве основного процессора, необходимые для запуска вредоносных полезных нагрузок.

Доставка DarkTortilla в целевую систему происходит через вредоносные сообщения, которые содержат архивы с исполняемым файлом для начального загрузчика. Загрузчик используется для декодирования и запуска модуля базового процессора, либо встроенного в сам загрузчик, либо полученного с сайтов хранения текста, например, Pastebin.

Затем базовый процессор отвечает за обеспечение постоянства и внедрение основной полезной нагрузки RAT в память, не оставляя следов в файловой системе. А с помощью файла конфигурации DarkTortilla может запускать кейлоггеры, похитителей содержимого буфера обмена и криптомайнеры.

Постоянство исходного загрузчика достигается с помощью определенного исполняемого файла, который предназначен для отслеживания назначенного процесса и повторного запуска в случае его остановки.

Secureworks обнаружила 93 уникальных образца DarkTortilla, загруженных на VirusTotal с января 2021 года по май 2022 года. 7 из них доставляли вредоносное ПО Babuk , а 2 других управляли MedusaLocker . Исследователи не нашли источник, где продается вредоносное ПО, но предполагают, что DarkTortilla может продаваться по RaaS-модели.

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться