©网络研究院

Cyble 研究和情报实验室 (CRIL) 检测到威胁参与者(TAs)正在分发恶意软件DarkTortilla。

自2015年以来，该综合体名为DarkTortilla的基于网络的恶意软件一直在运行。

研究人员表示，许多窃取程序和远程访问特洛伊木马 (RAT)，包括 AgentTesla、AsyncRAT、NanoCore 等，已知会被恶意软件植入。

DarkTortilla及其具体行动 

安全研究人员描述了DarkTortilla通过带有恶意附件的垃圾邮件向用户传播。然而，CRIL发现负责DarkTortilla的威胁参与者(ta)已经建立了钓鱼网站来传播恶意软件。

我们发现了两个伪装成合法的Grammarly和Cisco网站的网络钓鱼网站。

钓鱼网站链接可以通过垃圾邮件或在线广告等方式到达用户，从而去感染使用者。

从网络钓鱼网站下载的恶意样本进一步促进了DarkTortilla的感染。

从这两个钓鱼网站获取的样本使用多种感染方法来传播DarkTortilla恶意软件。

根据技术分析，当用户点击“Get Grammarly”按钮时，Grammarly钓鱼网站会下载一个名为“GnammanlyInstaller.zip”的恶意zip文件。

该zip文件还包含一个恶意的cabinet文件：

GnammanlyInstaller.ce9rah8baddwd7jse1ovd0e01.exe

它将自己伪装成一个语法上可执行的文件。

执行后.NET可执行文件从远程服务器下载一个加密文件，使用RC4逻辑对其解密，并在内存中执行。

DLL文件充当恶意软件的最终有效负载，并在系统中执行额外的恶意操作，然后被恶意软件加载到内存中。

思科钓鱼网站

研究人员提到，恶意软件会改变受害者.LNK文件目标路径，以保持其持久性。CISCO钓鱼网站从URL：

hxxps://cicsom.com/download/TeamViewerMeeting_Setup_x64.exe

下载一个文件，该文件是VC++编译的二进制文件， 当执行恶意软件时，它运行许多MOV指令，这些指令复制堆栈上的加密内容以用于其他恶意操作。

恶意软件采用这种逃避反病毒检测的方法。

恶意软件对加密内容执行解密循环以获得可移植可执行(PE)文件，创建新的注册表项，并将解密的PE文件作为二进制值复制。

恶意软件使用PowerShell机制，创建一个任务调度器条目作为持久性机制。

此外，反虚拟机检查由恶意软件执行，以确定文件是否运行在诸如VMware、Vbox等的受管理环境中。

使用域名仿冒网站发送DarkTortilla恶意软件。

从网络钓鱼网站下载的文件展示了不同的感染技术，这表明应该有一个复杂的平台，能够使用各种选项定制和编译二进制文件。

遵循以下建议以防止感染：

不要打开电子邮件中的可疑链接。

不要从不受信任的来源下载软件。

在您的连接设备(包括PC、笔记本电脑和手机)上使用知名的防病毒和互联网安全软件包。

不要在没有验证真实性的情况下打开不可信的链接和电子邮件附件。

复杂的 DarkTortilla 恶意软件通过网络钓鱼站点传播

最近，安全研究人员发布了一篇关于DarkTortilla及其详细行为的博客。根据他们的分析，DarkTortilla 通过带有恶意附件的垃圾邮件到达用户。但 CRIL 发现 DarkTortilla 背后的威胁参与者 (TA) 创建了用于分发恶意软件的网络钓鱼站点。

钓鱼网站下载恶意样本，进一步导致 DarkTortilla 感染。从两个网络钓鱼站点提供的样本展示了用于提供 DarkTortilla 恶意软件的不同感染技术。有趣的是，该恶意软件会修改受害者的 .LNK 文件目标路径以保持其持久性。

该博客详细介绍了感染技术和有效负载传递。

全文链接：

https://blog.cyble.com/2022/12/16/sophisticated-darktortilla-malware-spreading-via-phishing-sites/

原文始发于微信公众号（网络研究院）：警惕通过钓鱼网站传播的高度复杂的DarkTortilla恶意软件