„DotRunpeX“ naudoja tuščiavidurį procesą, kad platintų tolesnę kenkėjišką programą
Naujas kenkėjiškų programų tipas, žinomas kaip dotRunpeX, naudojamas platinti įvairius žinomus kenkėjiškų programų tipus, tokius kaip Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys ir Vidar.
DotRunpeX yra neseniai sukurtas purkštukas, kuris naudoja proceso tuščiavidurio techniką ir užkrečia sistemas daugeliu jau žinomų kenkėjiškų programų tipų. „DotRunpeX“ vis dar aktyviai kuriama ir paprastai perduodama kaip antrosios pakopos kenkėjiška programa infekcijos grandinėje per atsisiuntimo programą, dažnai plinta per kenkėjiškus priedus, siunčiamus sukčiavimo el. laiškais. Arba ji taip pat naudoja kenkėjiškas „Google Ads“, kad nukreiptų nieko neįtariančius vartotojus, ieškančius populiarios programinės įrangos, pvz., „AnyDesk“ ir „LastPass“, į svetaines, kuriose yra trojaniškų diegimo programų.
Neseniai atrasti „dotRunpeX“ artefaktai naudoja „KoiVM“ virtualizavimo apsaugą, kad pridėtų papildomą užmaskavimo sluoksnį. Remiantis „Check Point“ analize, kiekviename „dotRunpeX“ pavyzdyje yra tam tikra įterpta kenkėjiškų programų apkrova, kurią reikia suleisti, o injektorius nurodo antikenkėjiškų procesų sąrašą, kurį reikia nutraukti. Tai įmanoma išnaudojant pažeidžiamą procesų naršyklės tvarkyklę (procexp.sys), įtrauktą į dotRunpeX, kad ji būtų vykdoma branduolio režimu.
Yra keletas įrodymų, rodančių, kad „dotRunpeX“ gali būti susijęs su rusakalbiais aktoriais, remiantis kode esančiomis kalbų nuorodomis. Dažniausiai per šią kylančią grėsmę pateikiamos kenkėjiškų programų šeimos yra „RedLine“, „Raccoon“, „Vidar“, „Agent Tesla“ ir „FormBook“.
Kas yra proceso tuščiaviduris ir kaip jį naudoja kenkėjiškos programos, tokios kaip dotRunpeX?
Proceso ištuštinimas yra metodas, kurį naudoja kai kurios kenkėjiškos programos, kad išvengtų kenkėjiškų programų aptikimo. Tai apima naujo sustabdytos būsenos proceso sukūrimą ir jo kodo pakeitimą kenkėjišku kodu prieš atnaujinant procesą, taip veiksmingai užgrobiant teisėtą procesą, kad būtų vykdomas kenkėjiškas kodas. Tokiu būdu kenkėjiška programinė įranga gali paleisti jos neaptikta, nes ji vykdoma teisėtu procesu.
DotRunpeX atveju tai yra nauja kenkėjiška programa, kuri naudoja „Process Hollowing“ įterpti įvairias žinomas kenkėjiškų programų šeimas, tokias kaip „Agent Tesla“, „Ave Maria“, „BitRAT“, „FormBook“, „LokiBot“, „NetWire“, „Raccoon Stealer“, „RedLine Stealer“, „Remcos“, „Rhadamanthys“ ir Vidaras į aukos sistemą. Tai .NET injektorius, parašytas .NET programavimo kalba ir atkeliauja kaip antrosios pakopos kenkėjiška programa infekcijos grandinėje, dažnai pristatoma per parsisiuntimo programą, kuri perduodama per sukčiavimo el. laiškus arba kenkėjiškus priedus. Kenkėjiška programa skirta užkrėsti sistemas įvairių tipų kenkėjiškomis programomis, kurios jau žinomos, ir gali nutraukti apsaugos nuo kenkėjiškų programų procesus, kad būtų išvengta aptikimo. „Process Hollowing“ metodas leidžia „dotRunpeX“ vykdyti kenkėjišką kodą teisėtuose procesuose, todėl kenkėjiškų programų apsaugai programinei įrangai sunku aptikti veiklą.
