s1066-darktortilla

# DarkTortilla > Tipo: **malware** · S1066 · [MITRE ATT&CK](https://attack.mitre.org/software/S1066) ## Descrição [[s1066-darktortilla|DarkTortilla]] é um crypter altamente configurável baseado em .NET, possívelmente ativo desde pelo menos agosto de 2015. O [[s1066-darktortilla|DarkTortilla]] tem sido utilizado para distribuir infostealers populares, RATs e payloads como [[s0331-agent-tesla|Agent Tesla]], AsyncRat, [[s0336-nanocore|NanoCore]], RedLine, [[s0154-cobalt-strike|Cobalt Strike]] e Metasploit. A ferramenta é vendida como crime-as-a-service em fóruns clandestinos, democratizando o acesso a capacidades avançadas de evasão para atores menos sofisticados. O [[s1066-darktortilla|DarkTortilla]] opera como um wrapper que protege o payload real de análise e detecção. Implementa múltiplas camadas de ofuscação e decodificação em memória, injeção de DLL em processos legítimos do Windows e verificações anti-sandbox baseadas em tempo e características do sistema. O mecanismo de persistência suporta múltiplas técnicas - chaves Run do registro, Winlogon Helper DLL e COR_PROFILER - garantindo que pelo menos um método sobreviva a limpezas parciais. Verificações de idioma e configurações regionais permitem ao operador evitar infecções em países específicos. A versatilidade do [[s1066-darktortilla|DarkTortilla]] como plataforma de delivery o torna relevante para análise de qualquer campanha que utilize os payloads que ele distribui. Identificado por pesquisadores da Secureworks em 2022, o crypter demonstra maturidade de engenharia significativa, com capacidade de esconder e gerenciar múltiplos add-ons que estendem funcionalidades após a infecção inicial. O modelo de negócio como-um-serviço impede atribuição definitiva a um único ator de ameaça. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1547-004-winlogon-helper-dll|T1547.004 - Winlogon Helper DLL]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1574-012-corprofiler|T1574.012 - COR_PROFILER]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1036-masquerading|T1036 - Masquerading]] - [[t1564-hide-artifacts|T1564 - Hide Artifacts]] - [[t1497-001-system-checks|T1497.001 - System Checks]] ## Detecção - Detectar execuções de processos .NET suspeitos com múltiplas camadas de decodificação em memória ([[t1140-deobfuscatedecode-files-or-information|T1140]]) - Monitorar injeção de DLL em processos legítimos do Windows ([[t1055-001-dynamic-link-library-injection|T1055.001]]) - Alertar sobre modificações nas chaves COR_PROFILER do registro ([[t1574-012-corprofiler|T1574.012]]) - Identificar e-mails com anexos executáveis ou scripts que chegam via spear-phishing ([[t1566-001-spearphishing-attachment|T1566.001]]) - Monitorar modificações em chaves Winlogon Helper DLL ([[t1547-004-winlogon-helper-dll|T1547.004]]) - Usar análise de sandboxing para detectar comportamentos anti-análise baseados em tempo ([[t1497-003-time-based-checks|T1497.003]]) ## Relevância LATAM/Brasil O [[s1066-darktortilla|DarkTortilla]] como plataforma de entrega de payloads como [[s0331-agent-tesla|Agent Tesla]], [[s0336-nanocore|NanoCore]] e RedLine tem relevância direta para o Brasil: esses três RATs/stealers estão entre os mais detectados em campanhas contra empresas brasileiras. Botnets que distribuem [[s0331-agent-tesla|Agent Tesla]] frequentemente miram o setor industrial e financeiro brasileiro. A natureza de crime-as-a-service do DarkTortilla significa que qualquer grupo com recursos modestos pode utilizá-lo para atacar alvos brasileiros. Equipes SOC no Brasil devem incluir indicadores do DarkTortilla em suas plataformas de threat intel. ## Referências - [MITRE ATT&CK - S1066](https://attack.mitre.org/software/S1066) - [Secureworks - DarkTortilla Analysis](https://www.secureworks.com/research/darktortilla-malware-analysis)