Malspamキャンペーンを通じて広がる新しいSVCReady
HPの脅威調査部門のセキュリティ専門家は、SVCReadyと呼ばれる新種のマルウェアに関する調査結果を公開しました。マルウェアは、悪意のあるスパムメールキャンペーンを使用して拡散しています。
野生でのSVCReadyの最初の目撃は、2022年4月下旬に行われました。マルウェアは、開いたときに実行されるマクロがロードされた悪意のあるMSWordドキュメントファイルを介して拡散しました。ただし、マクロを使用するほとんどのマルウェアとは異なり、SVCReadyはMSHTAまたはPowerShellコマンドを使用してペイロードをインターネットから取得しません。代わりに、新しいマルウェアは別の巧妙なトリックを使用します。ファイルのプロパティフィールドに含まれているシェルコードを実行します。
SVCReadyは、一時フォルダにDLLファイルをドロップします。その後、マルウェアはシステムの正当なrundll32ファイルを同じディレクトリにコピーし、名前を変更します。次に、名前が変更されたrundll32のコピーを使用して、悪意のあるDLLファイルを実行します。
このマルウェアは、4月下旬から何度も更新されており、永続化メカニズムを備えているように見えるため、活発に開発されているようですが、欠陥があり、現在の状態では実際には永続化されていません。
SVCReadyは、RedLine infostealerマルウェアを含む、感染したシステムに追加のマルウェアを配信するための初期ペイロードとして使用されています。