Το DotRunpeX χρησιμοποιεί Process Hollowing για να διαδώσει περαιτέρω κακόβουλο λογισμικό

Ένας νέος τύπος κακόβουλου λογισμικού γνωστό ως dotRunpeX χρησιμοποιείται για τη διάδοση διαφόρων γνωστών τύπων κακόβουλου λογισμικού όπως Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys και Vidar.

Το DotRunpeX είναι ένας πρόσφατα αναπτυγμένος εγχυτήρας που χρησιμοποιεί την τεχνική της διαδικασίας hollowing και μολύνει συστήματα με πολλούς τύπους κακόβουλου λογισμικού που είναι ήδη γνωστοί. Το DotRunpeX εξακολουθεί να αναπτύσσεται ενεργά και συνήθως μεταδίδεται ως κακόβουλο λογισμικό δεύτερου σταδίου στην αλυσίδα μόλυνσης μέσω ενός προγράμματος λήψης, το οποίο συχνά διαδίδεται μέσω κακόβουλων συνημμένων που αποστέλλονται μέσω email ηλεκτρονικού ψαρέματος. Εναλλακτικά, χρησιμοποιεί επίσης κακόβουλο Google Ads για να ανακατευθύνει ανυποψίαστους χρήστες που αναζητούν δημοφιλές λογισμικό όπως το AnyDesk και το LastPass σε ιστότοπους αντιγραφής που περιέχουν προγράμματα εγκατάστασης με trojanized.

Πρόσφατα τεχνουργήματα του dotRunpeX που ανακαλύφθηκαν χρησιμοποιούν το προστατευτικό εικονικοποίησης KoiVM για να προσθέσουν ένα επιπλέον επίπεδο συσκότισης. Σύμφωνα με την ανάλυση του Check Point, κάθε δείγμα dotRunpeX έχει ένα συγκεκριμένο ενσωματωμένο ωφέλιμο φορτίο κακόβουλου λογισμικού προς ένεση, με τον εγχυτήρα να καθορίζει μια λίστα διαδικασιών κατά του κακόβουλου λογισμικού που πρέπει να τερματιστεί. Αυτό είναι δυνατό με την εκμετάλλευση ενός ευάλωτου προγράμματος οδήγησης εξερεύνησης διεργασιών (procexp.sys) που είναι ενσωματωμένο στο dotRunpeX για εκτέλεση σε λειτουργία πυρήνα.

Υπάρχουν ορισμένα στοιχεία που υποδηλώνουν ότι το dotRunpeX μπορεί να συνδέεται με ρωσόφωνους ηθοποιούς με βάση τις γλωσσικές αναφορές στον κώδικα. Οι οικογένειες κακόβουλου λογισμικού που παραδίδονται πιο συχνά μέσω αυτής της αναδυόμενης απειλής περιλαμβάνουν τα RedLine, Raccoon, Vidar, Agent Tesla και FormBook.

Τι είναι το Process Hollowing και πώς χρησιμοποιείται από κακόβουλο λογισμικό όπως το dotRunpeX;

Το Process Hollowing είναι μια τεχνική που χρησιμοποιείται από κάποιο κακόβουλο λογισμικό για να αποφευχθεί ο εντοπισμός από λογισμικό κατά του κακόβουλου λογισμικού. Περιλαμβάνει τη δημιουργία μιας νέας διαδικασίας σε κατάσταση αναστολής και την αντικατάσταση του κώδικά της με κακόβουλο κώδικα πριν από την επανέναρξη της διαδικασίας, ουσιαστικά παραβιάζοντας τη νόμιμη διαδικασία για την εκτέλεση κακόβουλου κώδικα. Με αυτόν τον τρόπο, το κακόβουλο λογισμικό μπορεί να εκτελείται χωρίς να ανιχνεύεται από λογισμικό κατά του κακόβουλου λογισμικού, επειδή εκτελείται μέσα σε μια νόμιμη διαδικασία.

Στην περίπτωση του dotRunpeX, είναι ένα νέο κακόβουλο λογισμικό που χρησιμοποιεί το Process Hollowing για να εισάγει μια ποικιλία γνωστών οικογενειών κακόβουλου λογισμικού όπως Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys και Vidar στο σύστημα ενός θύματος. Είναι ένας εγχυτήρας .NET που είναι γραμμένος σε γλώσσα προγραμματισμού .NET και έρχεται ως κακόβουλο λογισμικό δεύτερου σταδίου στην αλυσίδα μόλυνσης, συχνά παραδίδεται μέσω προγράμματος λήψης που μεταδίδεται μέσω ηλεκτρονικού "ψαρέματος" ή κακόβουλων συνημμένων. Το κακόβουλο λογισμικό έχει σχεδιαστεί για να μολύνει συστήματα με διάφορους τύπους κακόβουλου λογισμικού που είναι ήδη γνωστοί και μπορούν να τερματίσουν διαδικασίες κατά του κακόβουλου λογισμικού για να αποφευχθεί ο εντοπισμός. Η τεχνική Process Hollowing επιτρέπει στο dotRunpeX να εκτελεί κακόβουλο κώδικα εντός νόμιμων διεργασιών, καθιστώντας δύσκολη την ανίχνευση της δραστηριότητας από το λογισμικό κατά του κακόβουλου λογισμικού.