DotRunpeX はプロセス ホローイングを使用してマルウェアをさらに拡散

dotRunpeX として知られる新しいタイプのマルウェアを使用して、Agent Tesla、Ave Maria、BitRAT、FormBook、LokiBot、NetWire、Raccoon Stealer、RedLine Stealer、Remcos、Rhadamanthys、Vidar など、さまざまな既知のマルウェア タイプを広めています。

DotRunpeX は最近開発されたプロセス ハロウイング技術を利用したインジェクターであり、既知の多数の種類のマルウェアをシステムに感染させます。 DotRunpeX は現在も活発に開発されており、通常、ダウンローダーを介して感染チェーンの第 2 段階のマルウェアとして送信され、多くの場合、フィッシング メールを通じて送信される悪意のある添付ファイルを介して拡散されます。または、悪意のある Google 広告を使用して、AnyDesk や LastPass などの人気のあるソフトウェアを検索している無防備なユーザーを、トロイの木馬化されたインストーラーを含む模倣サイトにリダイレクトします。

最近発見された dotRunpeX のアーティファクトは、KoiVM 仮想化プロテクターを使用して難読化のレイヤーを追加します。 Check Point の分析によると、すべての dotRunpeX サンプルには、注入されるマルウェアの特定のペイロードが埋め込まれており、インジェクターは、終了するマルウェア対策プロセスのリストを指定しています。これは、カーネル モードで実行する dotRunpeX に組み込まれた脆弱なプロセス エクスプローラー ドライバー (procexp.sys) を悪用することで可能になります。

コード内の言語参照に基づいて、dotRunpeX がロシア語を話すアクターと提携している可能性があることを示唆する証拠がいくつかあります。この新たな脅威を通じて最も頻繁に配信されるマルウェア ファミリには、RedLine、Raccoon、Vidar、Agent Tesla、および FormBook が含まれます。

Process Hollowing とは何ですか? dotRunpeX のようなマルウェアによってどのように使用されますか?

Process Hollowing は、一部のマルウェアがマルウェア対策ソフトウェアによる検出を回避するために使用する手法です。一時停止状態で新しいプロセスを作成し、そのコードを悪意のあるコードに置き換えてからプロセスを再開し、正当なプロセスを効果的に乗っ取って悪意のあるコードを実行します。このように、マルウェアは正当なプロセス内で実行されるため、マルウェア対策ソフトウェアによって検出されずに実行できます。

dotRunpeX の場合、これは Process Hollowing を利用して、Agent Tesla、Ave Maria、BitRAT、FormBook、LokiBot、NetWire、Raccoon Stealer、RedLine Stealer、Remcos、Rhadamanthys などのさまざまな既知のマルウェア ファミリを挿入する新しいマルウェアです。被害者のシステムに侵入します。これは、.NET プログラミング言語で記述された .NET インジェクターであり、感染チェーンの第 2 段階のマルウェアとして到着し、多くの場合、フィッシング メールや悪意のある添付ファイルを介して送信されるダウンローダーを通じて配信されます。このマルウェアは、既知のさまざまな種類のマルウェアでシステムを感染させるように設計されており、検出を回避するためにマルウェア対策プロセスを終了させることができます。プロセス ホローイング技術により、dotRunpeX は正当なプロセス内で悪意のあるコードを実行できるようになり、マルウェア対策ソフトウェアがアクティビティを検出することが困難になります。

Zaib
March 22, 2023
Malware
日本語
March 22, 2023
Malware

人気の投稿

マイクロソフト、国家支援の攻撃者が攻撃に AI を使用していると警告

5 days年前

トロイの木馬 Al11 マルウェアの検出

11 months年前

「あなたの iCloud がハッキングされています」および「あなたの iPhone がハッキングされています」ポップアップ

7 months年前

Pinaview はフル機能のアドウェア アプリです

10 months年前

Lucky ランサムウェアとは何ですか?

7 months年前

「American Express - アカウント情報の更新」電子メール詐欺

6 months年前
日本語
読み込み中...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。