Qu’à cela ne tienne, ils ont tous les deux été bien malgré eux impliqués dans des campagnes malveillantes s’appuyant sur un nouveau malware packer, identifié par Proofpoint sous le nom de DTPacker.

Un packer est un logiciel qui permet de compresser, encoder ou encore chiffrer un binaire de logiciel malveillant sans en altérer le fonctionnement. Il s’agit d’une des techniques les plus utilisées par les cybercriminels pour contourner les systèmes de détection de menaces des entreprises.

Dans le cadre de la surveillance de ce type de menaces, Proofpoint vient de publier les résultats d’une enquête permettant d’identifier un nouveau malware packer, baptisé DTPacker. Cette enquête fait suite à un précédent blog Les packers .NET utilisent des images intégrées pour cacher les charges utiles, décrivant les familles de packers .NET "CyaX" et "Hectobmp".

Dans ce nouveau blog, les chercheurs Proofpoint décrivent le fonctionnement de DTPacker, qui a la particularité d’être polymorphe (à la fois packer et downloader), ce qui est plutôt rare. Ils révèlent également les découvertes suivantes :

• Le décodage de la charge utile s’opérait avec un mot de passe fixe contenant le nom de l’ancien président américain Donald Trump ;
• Pendant plusieurs semaines, le variant « downloader » de DTPacker a utilisé une fausse page d’accueil du Liverpool Football Club pour piéger ses victimes ;
• DTPacker s’est retrouvé associé à des dizaines de campagnes et à de multiples acteurs de la menace, notamment TA2536 et TA2715, depuis 2020. DTPacker a également été utilisé à la fois par des acteurs APT (Advanced Persistent Threat) et de la cybercriminalité.
• Ce type de packer malveillant est généralement utilisé pour camoufler des chevaux de Troie d’accès à distance qui peuvent ensuite être utilisés pour dérober des informations ou actionner des charges utiles comme des ransomwares.

Ces campagnes identifiées par les chercheurs de Proofpoint comprennent des milliers de messages et ont impacté des centaines de clients dans de multiples secteurs.