DotRunpeX verwendet Process Hollowing, um weitere Malware zu verbreiten
Eine neue Art von Malware namens dotRunpeX wird verwendet, um verschiedene bekannte Malware-Typen wie Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys und Vidar zu verbreiten.
DotRunpeX ist ein kürzlich entwickelter Injektor, der die Process Hollowing-Technik nutzt und Systeme mit zahlreichen bereits bekannten Malware-Typen infiziert. DotRunpeX wird immer noch aktiv weiterentwickelt und wird typischerweise als Malware der zweiten Stufe in der Infektionskette über einen Downloader übertragen, häufig über bösartige Anhänge, die über Phishing-E-Mails gesendet werden. Alternativ verwendet es auch bösartige Google-Anzeigen, um ahnungslose Benutzer, die nach beliebter Software wie AnyDesk und LastPass suchen, auf Nachahmerseiten mit trojanisierten Installationsprogrammen umzuleiten.
Kürzlich entdeckte Artefakte von dotRunpeX verwenden den KoiVM-Virtualisierungsschutz, um eine zusätzliche Verschleierungsebene hinzuzufügen. Laut der Analyse von Check Point verfügt jedes dotRunpeX-Sample über eine bestimmte eingebettete Malware-Nutzlast, die injiziert werden soll, wobei der Injektor eine Liste von zu beendenden Anti-Malware-Prozessen angibt. Dies ist möglich, indem ein anfälliger Prozess-Explorer-Treiber (procexp.sys) ausgenutzt wird, der in dotRunpeX integriert ist, um im Kernelmodus ausgeführt zu werden.
Es gibt einige Hinweise darauf, dass dotRunpeX basierend auf den Sprachreferenzen im Code mit russischsprachigen Schauspielern verbunden sein könnte. Zu den am häufigsten verbreiteten Malware-Familien durch diese neue Bedrohung gehören RedLine, Raccoon, Vidar, Agent Tesla und FormBook.
Was ist Process Hollowing und wie wird es von Malware wie dotRunpeX verwendet?
Process Hollowing ist eine Technik, die von einigen Malware-Programmen verwendet wird, um die Erkennung durch Anti-Malware-Software zu vermeiden. Es beinhaltet das Erstellen eines neuen Prozesses in einem angehaltenen Zustand und das Ersetzen seines Codes durch bösartigen Code, bevor der Prozess wieder aufgenommen wird, wodurch der legitime Prozess effektiv entführt wird, um bösartigen Code auszuführen. Auf diese Weise kann die Malware unbemerkt von Anti-Malware-Software ausgeführt werden, da sie innerhalb eines legitimen Prozesses ausgeführt wird.
Im Fall von dotRunpeX handelt es sich um eine neue Malware, die Process Hollowing verwendet, um eine Vielzahl bekannter Malware-Familien wie Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys und Vidar in das System eines Opfers. Es handelt sich um einen .NET-Injektor, der in der Programmiersprache .NET geschrieben ist und als Malware der zweiten Stufe in die Infektionskette eindringt, oft über einen Downloader, der über Phishing-E-Mails oder bösartige Anhänge übertragen wird. Die Malware wurde entwickelt, um Systeme mit verschiedenen Arten von Malware zu infizieren, die bereits bekannt sind, und kann Anti-Malware-Prozesse beenden, um eine Erkennung zu vermeiden. Die Process Hollowing-Technik ermöglicht es dotRunpeX, bösartigen Code innerhalb legitimer Prozesse auszuführen, was es für Anti-Malware-Software schwierig macht, die Aktivität zu erkennen.
