DotRunpeX はプロセス ホローイングを使用してマルウェアをさらに拡散
dotRunpeX として知られる新しいタイプのマルウェアを使用して、Agent Tesla、Ave Maria、BitRAT、FormBook、LokiBot、NetWire、Raccoon Stealer、RedLine Stealer、Remcos、Rhadamanthys、Vidar など、さまざまな既知のマルウェア タイプを広めています。
DotRunpeX は最近開発されたプロセス ハロウイング技術を利用したインジェクターであり、既知の多数の種類のマルウェアをシステムに感染させます。 DotRunpeX は現在も活発に開発されており、通常、ダウンローダーを介して感染チェーンの第 2 段階のマルウェアとして送信され、多くの場合、フィッシング メールを通じて送信される悪意のある添付ファイルを介して拡散されます。または、悪意のある Google 広告を使用して、AnyDesk や LastPass などの人気のあるソフトウェアを検索している無防備なユーザーを、トロイの木馬化されたインストーラーを含む模倣サイトにリダイレクトします。
最近発見された dotRunpeX のアーティファクトは、KoiVM 仮想化プロテクターを使用して難読化のレイヤーを追加します。 Check Point の分析によると、すべての dotRunpeX サンプルには、注入されるマルウェアの特定のペイロードが埋め込まれており、インジェクターは、終了するマルウェア対策プロセスのリストを指定しています。これは、カーネル モードで実行する dotRunpeX に組み込まれた脆弱なプロセス エクスプローラー ドライバー (procexp.sys) を悪用することで可能になります。
コード内の言語参照に基づいて、dotRunpeX がロシア語を話すアクターと提携している可能性があることを示唆する証拠がいくつかあります。この新たな脅威を通じて最も頻繁に配信されるマルウェア ファミリには、RedLine、Raccoon、Vidar、Agent Tesla、および FormBook が含まれます。
Process Hollowing とは何ですか? dotRunpeX のようなマルウェアによってどのように使用されますか?
Process Hollowing は、一部のマルウェアがマルウェア対策ソフトウェアによる検出を回避するために使用する手法です。一時停止状態で新しいプロセスを作成し、そのコードを悪意のあるコードに置き換えてからプロセスを再開し、正当なプロセスを効果的に乗っ取って悪意のあるコードを実行します。このように、マルウェアは正当なプロセス内で実行されるため、マルウェア対策ソフトウェアによって検出されずに実行できます。
dotRunpeX の場合、これは Process Hollowing を利用して、Agent Tesla、Ave Maria、BitRAT、FormBook、LokiBot、NetWire、Raccoon Stealer、RedLine Stealer、Remcos、Rhadamanthys などのさまざまな既知のマルウェア ファミリを挿入する新しいマルウェアです。被害者のシステムに侵入します。これは、.NET プログラミング言語で記述された .NET インジェクターであり、感染チェーンの第 2 段階のマルウェアとして到着し、多くの場合、フィッシング メールや悪意のある添付ファイルを介して送信されるダウンローダーを通じて配信されます。このマルウェアは、既知のさまざまな種類のマルウェアでシステムを感染させるように設計されており、検出を回避するためにマルウェア対策プロセスを終了させることができます。プロセス ホローイング技術により、dotRunpeX は正当なプロセス内で悪意のあるコードを実行できるようになり、マルウェア対策ソフトウェアがアクティビティを検出することが困難になります。