Νέα καμπάνια SVCReady Spread Through Malspam

Ειδικοί σε θέματα ασφάλειας του κλάδου έρευνας απειλών της HP δημοσίευσαν τα ευρήματά τους σχετικά με ένα νέο είδος κακόβουλου λογισμικού, που ονομάζεται SVCReady. Το κακόβουλο λογισμικό εξαπλώνεται χρησιμοποιώντας κακόβουλες καμπάνιες ανεπιθύμητης αλληλογραφίας.

Η πρώτη παρατήρηση του SVCReady στη φύση πραγματοποιήθηκε στα τέλη Απριλίου 2022. Το κακόβουλο λογισμικό διαδόθηκε μέσω κακόβουλων αρχείων εγγράφων MS Word φορτωμένα με μακροεντολές που εκτελούνται σε ανοιχτό. Ωστόσο, σε αντίθεση με τα περισσότερα κακόβουλα προγράμματα που χρησιμοποιούν μακροεντολές, το SVCReady δεν χρησιμοποιεί εντολές MSHTA ή PowerShell για να αφαιρέσει το ωφέλιμο φορτίο του από το Διαδίκτυο. Αντίθετα, το νέο κακόβουλο λογισμικό χρησιμοποιεί ένα άλλο έξυπνο τέχνασμα - την εκτέλεση του shellcode που περιέχεται στα πεδία ιδιοτήτων του αρχείου.

Το SVCReady ρίχνει ένα αρχείο DLL στον προσωρινό φάκελο. Μετά από αυτό, το κακόβουλο λογισμικό αντιγράφει το νόμιμο αρχείο rundll32 του συστήματος στον ίδιο κατάλογο και το μετονομάζει. Στη συνέχεια, το μετονομασμένο αντίγραφο του rundll32 χρησιμοποιείται για την εκτέλεση του κακόβουλου αρχείου DLL.

Το κακόβουλο λογισμικό φαίνεται να βρίσκεται υπό ενεργό ανάπτυξη, καθώς έχει ενημερωθεί πολλές φορές από τα τέλη Απριλίου και φαίνεται να έχει τα χαρακτηριστικά ενός μηχανισμού επιμονής, αλλά είναι ελαττωματικό και στην πραγματικότητα δεν επιτυγχάνει επιμονή στην τρέχουσα κατάσταση.

Το SVCReady έχει χρησιμοποιηθεί ως αρχικό ωφέλιμο φορτίο για την παροχή πρόσθετου κακόβουλου λογισμικού σε μολυσμένα συστήματα, συμπεριλαμβανομένου του κακόβουλου λογισμικού RedLine infostealer.