Új SVCReady Spready keresztül Malspam kampány
A HP fenyegetéskutatási részlegének biztonsági szakértői közzétették eredményeiket a rosszindulatú programok új törzsével, az SVCReady-vel kapcsolatban. A kártevőt rosszindulatú spam e-mail kampányok segítségével terjesztik.
Az SVCReady első felfedezése a vadonban 2022. április végén történt. A rosszindulatú program rosszindulatú MS Word-dokumentumfájlokon keresztül terjedt, amelyek nyitott állapotban végrehajtott makrókat tartalmaznak. Azonban a legtöbb makrókat használó rosszindulatú programtól eltérően az SVCReady nem használja az MSHTA vagy a PowerShell parancsokat, hogy lefoglalja a rakományt az internetről. Ehelyett az új rosszindulatú program egy másik okos trükköt használ – a fájl tulajdonságmezőiben található shellkódot hajt végre.
Az SVCReady eldob egy DLL-fájlt az ideiglenes mappába. Ezt követően a kártevő bemásolja a rendszer jogos rundll32 fájlját ugyanabba a könyvtárba, és átnevezi azt. Ezután a rundll32 átnevezett példánya a rosszindulatú DLL-fájl végrehajtására szolgál.
Úgy tűnik, hogy a rosszindulatú program aktív fejlesztés alatt áll, mivel április vége óta többször is frissítették, és úgy tűnik, hogy megvan benne a perzisztencia mechanizmus, de hibás, és a jelenlegi állapotban nem éri el a tartósságot.
Az SVCReady-t kezdeti hasznos adatként használták további rosszindulatú programok szállítására a fertőzött rendszereken, beleértve a RedLine infostealer malware-t.