DotRunpeX bruger Process Hollowing til at sprede yderligere malware

En ny type malware kendt som dotRunpeX bliver brugt til at sprede forskellige kendte malwaretyper som Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys og Vidar.

DotRunpeX er en nyligt udviklet injektor, der anvender procesudhulningsteknikken, og den inficerer systemer med adskillige malwaretyper, der allerede er kendte. DotRunpeX udvikles stadig aktivt og overføres typisk som en anden fase af malware i infektionskæden via en downloader, ofte spredt via ondsindede vedhæftede filer sendt via phishing-e-mails. Alternativt bruger den også ondsindet Google Ads til at omdirigere intetanende brugere, der søger efter populær software som AnyDesk og LastPass, til kopieringswebsteder, der indeholder trojaniserede installationsprogrammer.

Nyligt opdagede artefakter af dotRunpeX bruger KoiVM-virtualiseringsbeskytteren til at tilføje et ekstra lag af sløring. Ifølge Check Points analyse har hver dotRunpeX-prøve en specifik indlejret nyttelast af malware, der skal injiceres, hvor injektoren specificerer en liste over anti-malware-processer, der skal afsluttes. Dette er muligt ved at udnytte en sårbar procesudforsker-driver (procexp.sys) indbygget i dotRunpeX til at køre i kernetilstand.

Der er nogle beviser, der tyder på, at dotRunpeX kan være tilknyttet russisktalende skuespillere baseret på sprogreferencerne i koden. De hyppigst leverede malware-familier gennem denne nye trussel omfatter RedLine, Raccoon, Vidar, Agent Tesla og FormBook.

Hvad er Process Hollowing, og hvordan bruges det af Malware som dotRunpeX?

Process Hollowing er en teknik, der bruges af noget malware for at undgå opdagelse af anti-malware-software. Det involverer at skabe en ny proces i en suspenderet tilstand og erstatte dens kode med ondsindet kode, før processen genoptages, hvilket effektivt kaprer den legitime proces til at udføre ondsindet kode. På denne måde kan malwaren køre uopdaget af anti-malware-software, fordi den udføres inden for en lovlig proces.

I tilfælde af dotRunpeX er det en ny malware, der bruger Process Hollowing til at injicere en række kendte malware-familier såsom Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys og Vidar ind i et offers system. Det er en .NET-injektor, der er skrevet i .NET-programmeringssproget og ankommer som et andet trins malware i infektionskæden, ofte leveret gennem en downloader, der transmitteres via phishing-e-mails eller ondsindede vedhæftede filer. Malwaren er designet til at inficere systemer med forskellige typer malware, der allerede er kendt, og kan afslutte anti-malware-processer for at undgå opdagelse. Process Hollowing-teknikken tillader dotRunpeX at udføre ondsindet kode inden for legitime processer, hvilket gør det svært for anti-malware-software at opdage aktiviteten.