DotRunpeX utilizza Process Hollowing per diffondere ulteriore malware
Un nuovo tipo di malware noto come dotRunpeX viene utilizzato per diffondere vari tipi di malware noti come Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys e Vidar.
DotRunpeX è un iniettore sviluppato di recente che utilizza la tecnica del process hollowing e infetta i sistemi con numerosi tipi di malware già noti. DotRunpeX è ancora in fase di sviluppo attivo e viene generalmente trasmesso come malware di secondo stadio nella catena di infezione tramite un downloader, spesso diffuso tramite allegati dannosi inviati tramite e-mail di phishing. In alternativa, utilizza anche annunci Google dannosi per reindirizzare utenti ignari che cercano software popolari come AnyDesk e LastPass a siti imitatori contenenti programmi di installazione trojan.
Gli artefatti di dotRunpeX scoperti di recente utilizzano la protezione di virtualizzazione KoiVM per aggiungere un ulteriore livello di offuscamento. Secondo l'analisi di Check Point, ogni campione dotRunpeX ha uno specifico payload incorporato di malware da iniettare, con l'iniettore che specifica un elenco di processi anti-malware da terminare. Ciò è possibile sfruttando un driver di esplorazione dei processi vulnerabile (procexp.sys) incorporato in dotRunpeX per l'esecuzione in modalità kernel.
Ci sono alcune prove che suggeriscono che dotRunpeX possa essere affiliato con attori di lingua russa sulla base dei riferimenti linguistici nel codice. Le famiglie di malware distribuite più di frequente attraverso questa minaccia emergente includono RedLine, Raccoon, Vidar, Agent Tesla e FormBook.
Cos'è Process Hollowing e come viene utilizzato da malware come dotRunpeX?
Process Hollowing è una tecnica utilizzata da alcuni malware per evitare il rilevamento da parte del software anti-malware. Implica la creazione di un nuovo processo in uno stato sospeso e la sostituzione del suo codice con codice dannoso prima di riprendere il processo, dirottando efficacemente il processo legittimo per eseguire codice dannoso. In questo modo, il malware può essere eseguito senza essere rilevato dal software antimalware perché viene eseguito all'interno di un processo legittimo.
Nel caso di dotRunpeX, si tratta di un nuovo malware che utilizza Process Hollowing per iniettare una varietà di famiglie di malware note come Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys e Vidar nel sistema di una vittima. È un iniettore .NET scritto nel linguaggio di programmazione .NET e arriva come malware di seconda fase nella catena di infezione, spesso distribuito tramite un downloader trasmesso tramite e-mail di phishing o allegati dannosi. Il malware è progettato per infettare i sistemi con vari tipi di malware già noti e può terminare i processi anti-malware per evitare il rilevamento. La tecnica Process Hollowing consente a dotRunpeX di eseguire codice dannoso all'interno di processi legittimi, rendendo difficile per il software anti-malware rilevare l'attività.
