A DotRunpeX folyamatürítést használ további rosszindulatú programok terjesztésére
A dotRunpeX néven ismert új típusú rosszindulatú programokat különféle ismert kártevőtípusok terjesztésére használják, mint például az Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys és Vidar.
A DotRunpeX egy nemrégiben kifejlesztett injektor, amely a process hollowing technikát használja, és számos, már ismert rosszindulatú programtípussal fertőzi meg a rendszereket. A DotRunpeX-et még mindig aktívan fejlesztik, és jellemzően a fertőzési lánc második szakaszában lévő rosszindulatú programként terjed egy letöltőn keresztül, gyakran adathalász e-maileken keresztül küldött rosszindulatú mellékleteken keresztül. Alternatív megoldásként rosszindulatú Google Ads segítségével irányítja át a gyanútlan felhasználókat, akik olyan népszerű szoftvereket keresnek, mint az AnyDesk és a LastPass, hogy átmásolják a trójai telepítőket tartalmazó webhelyeket.
A dotRunpeX közelmúltban felfedezett műtermékei a KoiVM virtualizációs védőt használják az elhomályosítás további rétegéhez. A Check Point elemzése szerint minden dotRunpeX mintában van egy beágyazott, beágyazott rosszindulatú program, amelyet be kell injektálni, és az injektor megadja a leállítandó kártevő-elhárító folyamatok listáját. Ez a dotRunpeX-be beépített, sebezhető folyamatkezelő illesztőprogram (procexp.sys) kihasználásával lehetséges a kernel módban történő végrehajtáshoz.
Néhány bizonyíték arra utal, hogy a kódban található nyelvi hivatkozások alapján a dotRunpeX kapcsolatban állhat oroszul beszélő színészekkel. A feltörekvő fenyegetésen keresztül leggyakrabban szállított rosszindulatú programcsaládok közé tartozik a RedLine, a Raccoon, a Vidar, az Agent Tesla és a FormBook.
Mi az a Process Hollowing, és hogyan használják olyan rosszindulatú programok, mint a dotRunpeX?
A Process Hollowing egy olyan technika, amelyet egyes rosszindulatú programok használnak, hogy elkerüljék a kártevő-elhárító szoftverek észlelését. Ez magában foglalja egy új folyamat létrehozását felfüggesztett állapotban, és a kódjának rosszindulatú kóddal való lecserélését a folyamat folytatása előtt, hatékonyan eltérítve a rosszindulatú kód futtatásához szükséges legitim folyamatot. Ily módon a rosszindulatú program észrevétlenül futhat a kártevő-elhárító szoftverek által, mivel azt törvényes folyamaton belül hajtják végre.
A dotRunpeX esetében ez egy új rosszindulatú program, amely a Process Hollowing segítségével számos ismert rosszindulatú programcsaládot, például Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys és Vidart egy áldozat rendszerébe. Ez egy .NET-injektor, amely .NET programozási nyelven íródott, és a fertőzési lánc második szakaszában lévő rosszindulatú programként érkezik, gyakran egy letöltőn keresztül, amelyet adathalász e-maileken vagy rosszindulatú mellékleteken keresztül továbbítanak. A rosszindulatú program célja, hogy megfertőzze a rendszereket különféle típusú kártevőkkel, amelyek már ismertek, és leállíthatják a kártevő-elhárító folyamatokat az észlelés elkerülése érdekében. A Process Hollowing technika lehetővé teszi a dotRunpeX számára, hogy rosszindulatú kódot hajtson végre a legitim folyamatokon belül, ami megnehezíti a kártevőirtó szoftverek számára a tevékenység észlelését.
