Nauja „SVCReady“ plitimas per „Malspam“ kampaniją

HP grėsmių tyrimų skyriaus saugumo ekspertai paskelbė savo išvadas apie naują kenkėjiškų programų atmainą, pavadintą SVCReady. Kenkėjiška programa plinta naudojant kenkėjiškas el. pašto kampanijas.

Pirmasis SVCReady pastebėtas laukinėje gamtoje įvyko 2022 m. balandžio pabaigoje. Kenkėjiška programa buvo išplatinta per kenkėjiškus MS Word dokumentų failus, įkeltus su makrokomandomis, kurios vykdomos atidarius. Tačiau, skirtingai nei dauguma kenkėjiškų programų, kurios naudoja makrokomandas, SVCReady nenaudoja MSHTA arba PowerShell komandų, kad paimtų savo naudingą apkrovą iš interneto. Vietoj to, naujoji kenkėjiška programa naudoja kitą protingą gudrybę – paleidžiamas apvalkalo kodas, esantis failo ypatybių laukuose.

SVCReady numeta DLL failą į laikinąjį aplanką. Po to kenkėjiška programa nukopijuoja teisėtą sistemos rundll32 failą į tą patį katalogą ir jį pervadina. Tada pervardyta rundll32 kopija naudojama kenkėjiškam DLL failui vykdyti.

Panašu, kad kenkėjiška programa yra aktyviai kuriama, nes nuo balandžio pabaigos ji buvo kelis kartus atnaujinta ir atrodo, kad ji turi patvarumo mechanizmo savybių, tačiau ji yra klaidinga ir iš tikrųjų nepasiekia patvarumo dabartinėje būsenoje.

„SVCReady“ buvo naudojamas kaip pradinis naudingasis krovinys, siekiant pateikti papildomos kenkėjiškos programos užkrėstose sistemose, įskaitant „RedLine infostealer“ kenkėjiškas programas.