DarkTortilla способна избежать обнаружения, легко настраивается и предоставляет широкий спектр эффективных вредоносных программ.
Согласно отчету Secureworks , шифровальщик DarkTortilla на базе .NET как минимум с 2015 года распространяет огромное количество вредоносных программ, а также полезных нагрузок Cobalt Strike и Metasploit.
Для заражения шифровальщик использует вредоносные документы-приманки и исполняемые файлы. Он оснащен надежными средствами защиты от анализа и несанкционированного доступа, которые могут затруднить обнаружение и уничтожение.
Вредоносное ПО, доставляемое шифровальщиком, включает в себя инфостилеры и трояны удаленного доступа RAT Agent Tesla , AsyncRat , NanoCore и RedLine Stealer .
DarkTortilla включает в себя два компонента – исполняемый файл на базе .NET в качестве начального загрузчика и DLL-библиотеку на базе .NET в качестве основного процессора, необходимые для запуска вредоносных полезных нагрузок.
Доставка DarkTortilla в целевую систему происходит через вредоносные сообщения, которые содержат архивы с исполняемым файлом для начального загрузчика. Загрузчик используется для декодирования и запуска модуля базового процессора, либо встроенного в сам загрузчик, либо полученного с сайтов хранения текста, например, Pastebin.
Затем базовый процессор отвечает за обеспечение постоянства и внедрение основной полезной нагрузки RAT в память, не оставляя следов в файловой системе. А с помощью файла конфигурации DarkTortilla может запускать кейлоггеры, похитителей содержимого буфера обмена и криптомайнеры.
Постоянство исходного загрузчика достигается с помощью определенного исполняемого файла, который предназначен для отслеживания назначенного процесса и повторного запуска в случае его остановки.
Secureworks обнаружила 93 уникальных образца DarkTortilla, загруженных на VirusTotal с января 2021 года по май 2022 года. 7 из них доставляли вредоносное ПО Babuk , а 2 других управляли MedusaLocker . Исследователи не нашли источник, где продается вредоносное ПО, но предполагают, что DarkTortilla может продаваться по RaaS-модели.
Одно найти легче, чем другое. Спойлер: это не темная материя