Secureworksは8月17日(米国時間)、「DarkTortilla Malware Analysis|Secureworks」において、クリプターである「DarkTortilla」を解析したと伝えた。DarkTortillaは高度に設定可能な.NETベースのクリプターで、少なくとも2015年8月以降に活動を始めたとされている。
クリプターはマルウェアの暗号化、難読化、コード操作を組み合わせてセキュリティソリューションによる検出を回避するために使われるサイバー犯罪用のソフトウェアツール。DarkTortillaは「AgentTesla」、「AsyncRat」、「NanoCore」、「RedLine」など人気のある情報窃取型マルウェアやリモートアクセス型トロイの木馬(遠隔操作ウィルス(RAT: Remote Administration Tool))の配信に使われている。Secureworksの調査によって、新たに「Cobalt Strike」や「Metasploit」といった標的型ペイロードを配信するサンプルも確認されている。
DarkTortillaは、初期ローダの実行ファイルを含む悪意のあるメールを介して配信される。コアプロセッサモジュールはその実行ファイル自体に組み込まれているか、Pastebinなどのテキスト保存Webサイトから取得される仕組みとなっている。
コアプロセッサモジュールには、キーロガー、クリップボード窃取、暗号通貨マイナーなどのアドオンパッケージをドロップする機能が提供されおり、痕跡を残さずにメモリにペイロードを挿入するとされている。さらには永続性も確立する。具体的には指定されたプロセスを監視し、プロセスが強制終了された場合に再実行するように設計された「WatchDog」と呼ばれる実行ファイルが実装されているとのことだ。
Secureworksによると、2021年1月から2022年5月までの17カ月間で、1週間あたり平均93個のDarkTortillaのユニークなサンプルが解析サービス「VirusTotal」にアップロードされているという。Secureworksの研究者は、DarkTortillaは検知を回避する能力があり、高度に設定可能で、一般的で効果的なマルウェアを幅広く配信する手ごわい脅威だと述べている。