El malware ‘DarkTortilla’ se envuelve en sofisticación para infecciones de ratas de alto volumen



Los investigadores advirtieron esta semana sobre un encriptador sofisticado y evasivo que varios actores de amenazas están utilizando para distribuir una variedad de ladrones de información y troyanos de acceso remoto (RAT).

El encriptador, denominado «DarkTortilla», es omnipresente y persistente, y contiene múltiples funciones diseñadas para ayudarlo a evitar las herramientas forenses y antimalware. El encriptador basado en .Net se puede configurar para entregar numerosas cargas maliciosas y se puede usar potencialmente para plantar contenido ilegal en el sistema de una víctima. También es capaz de engañar tanto a los usuarios como a los entornos limitados haciéndoles creer que es benigno.

Los investigadores de Secureworks, que detectaron DarkTortilla por primera vez en octubre pasado, creen que ha estado activo al menos desde agosto de 2015. Rob Pantazopoulos, investigador principal de seguridad en la Unidad de Contraamenazas (CTU) de Secureworks, dice que los actores de amenazas han usado DarkTortilla en el pasado para entregar un una amplia gama de otros programas maliciosos, incluidos Remcos, BitRat, FormBook, WarzoneRat, Snake Keylogger, LokiBot, QuasarRat, NetWire y DCRat. En algunas ocasiones, el encriptador también se ha utilizado en ataques dirigidos para entregar cargas útiles como Metaspolit y Cobalt Strike.

Más recientemente, se ha utilizado principalmente para entregar malware como RAT AgentTesla, NanoCore y AsyncRat, así como el ladrón de información RedLine.

Algo inusual para un distribuidor de malware tan utilizado, ha habido solo nueve casos en los que un actor de amenazas usó DarkTortilla para distribuir ransomware, y siete de ellos involucraron a la familia de ransomware Babuk.

Omnipresente y Versátil

«DarkTortilla se centró por primera vez en Secureworks en octubre de 2021 cuando detectamos un actor de amenazas que aprovechaba una vulnerabilidad de ejecución remota de código de Microsoft Exchange (CVE-2021-34473) para ejecutar PowerShell malicioso en los entornos de los clientes», dice Pantazopoulos. «La cadena de ataque eventualmente condujo a la descarga y ejecución del malware .Internet que ahora llamamos DarkTortilla».

Los investigadores de Secureworks dijeron que entre enero de 2021 y mayo, detectó un promedio de 93 muestras únicas de DarkTortilla siendo subido a VirusTotal cada semana. El proveedor de seguridad dice que ha contado más de 10,000 muestras únicas de DarkTortilla desde que comenzó a rastrear el malware. Al igual que muchas herramientas de malware, los atacantes han estado utilizando correos electrónicos no deseados con archivos adjuntos como .ISO, .ZIP e .IMG para distribuir DarkTortilla. En algunos casos, también han usado documentos maliciosos para entregar el malware.

Altamente configurable

Lo que hace que DarkTortilla sea peligroso es su alto grado de configurabilidad y los diversos controles anti-análisis y anti-manipulación que incluye para hacer que la detección y el análisis sean un gran desafío. El malware, por ejemplo, utiliza herramientas de código abierto como DeepSea y ConfuserEX para ofuscar su código, y su carga útil principal se ejecuta por completo en la memoria, dice Pantazopoulos.

Además, el cargador inicial de DarkTortilla, que es el único componente del malware que toca el sistema de archivos, contiene una funcionalidad mínima, lo que dificulta su detección.

«Su único trabajo es recuperar, decodificar y cargar el procesador central, que generalmente se almacena como datos cifrados dentro de los recursos del cargador inicial», señala. El código en sí es de naturaleza genérica y tiende a variar entre muestras según las herramientas de ofuscación que se hayan aplicado. Como resultado, Secureworks solo ha podido identificar un puñado de marcadores consistentes para el malware, que también es probable que cambien pronto, dice el investigador.

El análisis del proveedor de seguridad de DarkTortilla mostró que migra la ejecución al directorio %TEMP% de Windows durante la ejecución inicial, una característica que, según Pantazopoulos, es problemática para los defensores. Un beneficio de hacer esto, desde la perspectiva del atacante, es que permite que DarkTortilla se esconda en un sistema infectado.

«Segundo, si el elemento de configuración %Delay% se define dentro de la configuración de DarkTortilla, la cantidad de tiempo desde que se ejecuta DarkTortilla hasta que se ejecuta la carga útil principal aumenta exponencialmente», dice. Por ejemplo, con solo unos pocos cambios de configuración, los atacantes pueden configurar el malware para que ejecute su carga útil principal varios minutos después de que se ejecute el ejecutable DarkTortilla.

«El impacto aquí es que, cuando los defensores envían la muestra a los sandboxes más populares, es probable que se agote el tiempo de espera de la muestra sin hacer nada malicioso y el sandbox puede informar que la muestra era benigna».

Bolsa de trucos

La bolsa de trucos de DarkTortilla incluye un cuadro de mensaje que los atacantes pueden usar para mostrar mensajes falsos y personalizables acerca de que el malware es una aplicación legítima, acerca de la falla en la ejecución o acerca de que el software package está dañado. El objetivo aquí, nuevamente, es engañar a los usuarios para que crean que el malware que se ejecuta en su sistema es benigno.

«Desde la perspectiva de las características, consideramos que la capacidad de DarkTortilla para ofrecer numerosas cargas útiles adicionales en forma de ‘complementos’ es muy interesante», señala Pantazopoulos. En un caso, el complemento configurado era una hoja de cálculo de Excel de señuelo benigna que se abría mientras el malware se ejecutaba en segundo plano. En otro caso, Secureworks descubrió que el complemento configurado era un instalador de aplicaciones legítimo que se ejecutaba cuando se ejecutaba el malware. Por lo tanto, la víctima asumió que estaba instalando una aplicación legítima.

En un puñado de instancias, Secureworks observó a los actores de amenazas que usaban DarkTortilla para colocar complementos en el disco que luego no se ejecutaron. De los más de 600 complementos de DarkTortilla que Secureworks ha observado hasta ahora, solo siete se colocaron en el disco y no se ejecutaron.

Los tipos de archivos iban desde ejecutables y archivos de configuración hasta documentos PDF y, por lo general, se colocaban en la carpeta Mis documentos de la víctima. «Aunque todavía no lo hemos visto usado de esta manera, es muy posible que un actor de amenazas pueda aprovechar DarkTortilla para plantar contenido ilegal en el sistema de archivos de una víctima sin su conocimiento», dice Pantazopoulos.



Enlace a la noticia initial