DotRunpeX utilise le creusement de processus pour propager davantage de logiciels malveillants
Un nouveau type de logiciel malveillant connu sous le nom de dotRunpeX est utilisé pour diffuser divers types de logiciels malveillants connus tels que Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys et Vidar.
DotRunpeX est un injecteur récemment développé qui utilise la technique de creusement de processus et qui infecte les systèmes avec de nombreux types de logiciels malveillants déjà connus. DotRunpeX est toujours activement développé et est généralement transmis en tant que malware de deuxième étape dans la chaîne d'infection via un téléchargeur, souvent diffusé via des pièces jointes malveillantes envoyées via des e-mails de phishing. Alternativement, il utilise également des annonces Google malveillantes pour rediriger les utilisateurs sans méfiance qui recherchent des logiciels populaires comme AnyDesk et LastPass vers des sites de copie contenant des installateurs trojanisés.
Les artefacts récemment découverts de dotRunpeX utilisent le protecteur de virtualisation KoiVM pour ajouter une couche supplémentaire d'obscurcissement. Selon l'analyse de Check Point, chaque échantillon dotRunpeX a une charge utile intégrée spécifique de logiciels malveillants à injecter, l'injecteur spécifiant une liste de processus anti-malware à terminer. Ceci est possible en exploitant un pilote d'explorateur de processus vulnérable (procexp.sys) incorporé dans dotRunpeX pour s'exécuter en mode noyau.
Certaines preuves suggèrent que dotRunpeX pourrait être affilié à des acteurs russophones sur la base des références linguistiques dans le code. Les familles de logiciels malveillants les plus fréquemment diffusées via cette menace émergente incluent RedLine, Raccoon, Vidar, Agent Tesla et FormBook.
Qu'est-ce que l'évidement de processus et comment est-il utilisé par des logiciels malveillants comme dotRunpeX ?
Process Hollowing est une technique utilisée par certains logiciels malveillants pour éviter la détection par un logiciel anti-malware. Cela implique de créer un nouveau processus dans un état suspendu et de remplacer son code par un code malveillant avant de reprendre le processus, détournant ainsi le processus légitime pour exécuter du code malveillant. De cette façon, le malware peut s'exécuter sans être détecté par un logiciel anti-malware car il est exécuté dans le cadre d'un processus légitime.
Dans le cas de dotRunpeX, il s'agit d'un nouveau logiciel malveillant qui utilise Process Hollowing pour injecter une variété de familles de logiciels malveillants connus tels que Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys et Vidar dans le système d'une victime. Il s'agit d'un injecteur .NET écrit en langage de programmation .NET et qui arrive en tant que malware de deuxième étape dans la chaîne d'infection, souvent transmis via un téléchargeur transmis via des e-mails de phishing ou des pièces jointes malveillantes. Le malware est conçu pour infecter les systèmes avec différents types de malware déjà connus et peut mettre fin aux processus anti-malware pour éviter la détection. La technique Process Hollowing permet à dotRunpeX d'exécuter du code malveillant dans des processus légitimes, ce qui rend difficile la détection de l'activité par un logiciel anti-malware.