Ny SVCReady Spread Through Malspam-kampanje

Sikkerhetseksperter med trusselforskningsgrenen til HP publiserte funnene sine om en ny stamme av skadelig programvare, kalt SVCReady. Skadevaren spres ved hjelp av ondsinnede spam-e-postkampanjer.

Den første observasjonen av SVCReady i naturen fant sted i slutten av april 2022. Skadevaren ble spredt gjennom ondsinnede MS Word-dokumentfiler lastet med makroer som kjøres på åpen. I motsetning til de fleste skadevare som bruker makroer, bruker ikke SCReady MSHTA- eller PowerShell-kommandoer for å hente nyttelasten fra Internett. I stedet bruker den nye skadelige programvaren et annet smart triks - å kjøre skallkode som finnes i filens egenskapsfelt.

SVCReady slipper en DLL-fil i den midlertidige mappen. Etter det kopierer skadevaren systemets legitime rundll32-fil til samme katalog og gir den nytt navn. Deretter brukes den omdøpte kopien av rundll32 til å kjøre den ondsinnede DLL-filen.

Skadevaren ser ut til å være under aktiv utvikling, ettersom den har blitt oppdatert flere ganger siden slutten av april, og den ser ut til å ha en utholdenhetsmekanisme, men den er defekt og oppnår faktisk ikke utholdenhet i den nåværende tilstanden.

SVCReady har blitt brukt som en innledende nyttelast for å levere ytterligere skadelig programvare på infiserte systemer, inkludert RedLine infostealer malware.