Ngày 20 tháng 3 năm 2023Ravie LakshmananĐe dọa mạng / Phần mềm độc hại
Một phần mềm độc hại mới có tên dotRunpeX đang được sử dụng để phân phối nhiều dòng phần mềm độc hại đã biết như Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys và Vidar.
Check Point cho biết trong một báo cáo được công bố vào tuần trước: “DotRunpeX là một trình tiêm mới được viết bằng .NET bằng kỹ thuật Process Hollowing và được sử dụng để lây nhiễm các hệ thống với nhiều họ phần mềm độc hại đã biết”.
Được cho là đang trong giai đoạn phát triển tích cực, dotRunpeX xuất hiện dưới dạng phần mềm độc hại giai đoạn hai trong chuỗi lây nhiễm, thường được triển khai thông qua trình tải xuống (còn gọi là trình tải) được truyền qua email lừa đảo dưới dạng tệp đính kèm độc hại.
Ngoài ra, nó được biết là tận dụng Quảng cáo Google độc hại trên các trang kết quả tìm kiếm để hướng những người dùng không nghi ngờ đang tìm kiếm phần mềm phổ biến như AnyDesk và LastPass đến các trang web sao chép lưu trữ trình cài đặt trojan.
Các tạo phẩm DotRunpeX mới nhất, lần đầu tiên được phát hiện vào tháng 10 năm 2022, thêm một lớp che giấu bổ sung bằng cách sử dụng trình bảo vệ ảo hóa KoiVM.
Cần chỉ ra rằng những phát hiện này phù hợp với một chiến dịch quảng cáo độc hại được SentinelOne ghi lại vào tháng trước, trong đó trình tải và các thành phần của trình tiêm được gọi chung là MalVirt.
phân tích của Check Point đã tiết lộ thêm rằng “mỗi mẫu dotRunpeX có một tải trọng được nhúng của một họ phần mềm độc hại nhất định sẽ được tiêm vào”, với người tiêm chỉ định một danh sách các quy trình chống phần mềm độc hại sẽ bị chấm dứt.
Đổi lại, điều này có thể thực hiện được bằng cách lạm dụng trình điều khiển trình thám hiểm quy trình dễ bị tổn thương (procexp.sys) được tích hợp vào dotRunpeX để có được thực thi chế độ nhân.
Có những dấu hiệu cho thấy dotRunpeX có thể được liên kết với các diễn viên nói tiếng Nga dựa trên các tham chiếu ngôn ngữ trong mã. Các họ phần mềm độc hại được phát tán thường xuyên nhất do mối đe dọa mới nổi này bao gồm RedLine, Raccoon, Vidar, Agent Tesla và FormBook.
