DotRunpeX bruker prosessuthuling for å spre ytterligere skadelig programvare
En ny type skadelig programvare kjent som dotRunpeX blir brukt til å spre ulike kjente skadevaretyper som Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys og Vidar.
DotRunpeX er en nylig utviklet injektor som bruker prosessuthulingsteknikken, og den infiserer systemer med en rekke skadevaretyper som allerede er kjent. DotRunpeX utvikles fortsatt aktivt og overføres vanligvis som et andretrinns skadelig programvare i infeksjonskjeden via en nedlaster, ofte spredt via ondsinnede vedlegg sendt via phishing-e-post. Alternativt bruker den også ondsinnede Google Ads for å omdirigere intetanende brukere som søker etter populær programvare som AnyDesk og LastPass til kopieringsnettsteder som inneholder trojaniserte installatører.
Nylig oppdagede artefakter av dotRunpeX bruker KoiVM-virtualiseringsbeskytteren for å legge til et ekstra lag med tilsløring. I følge Check Points analyse har hver dotRunpeX-prøve en spesifikk innebygd nyttelast av skadelig programvare som skal injiseres, med injektoren som spesifiserer en liste over anti-malware-prosesser som skal avsluttes. Dette er mulig ved å utnytte en sårbar prosessutforsker-driver (procexp.sys) innlemmet i dotRunpeX for å kjøre i kjernemodus.
Det er noen bevis som tyder på at dotRunpeX kan være tilknyttet russisktalende skuespillere basert på språkreferansene i koden. De oftest leverte skadevarefamiliene gjennom denne nye trusselen inkluderer RedLine, Raccoon, Vidar, Agent Tesla og FormBook.
Hva er Process Hollowing og hvordan brukes den av skadelig programvare som dotRunpeX?
Process Hollowing er en teknikk som brukes av noe skadelig programvare for å unngå oppdagelse av anti-malware-programvare. Det innebærer å opprette en ny prosess i en suspendert tilstand og erstatte dens kode med ondsinnet kode før prosessen gjenopptas, og effektivt kapre den legitime prosessen for å utføre ondsinnet kode. På denne måten kan skadelig programvare kjøres uoppdaget av anti-malware-programvare fordi den kjøres i en legitim prosess.
Når det gjelder dotRunpeX, er det en ny skadelig programvare som bruker Process Hollowing til å injisere en rekke kjente skadevarefamilier som Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys og Vidar inn i et offers system. Det er en .NET-injektor som er skrevet i .NET-programmeringsspråket og kommer som et andretrinns skadevare i infeksjonskjeden, ofte levert gjennom en nedlaster som overføres via phishing-e-post eller ondsinnede vedlegg. Skadevaren er designet for å infisere systemer med ulike typer skadelig programvare som allerede er kjent og kan avslutte anti-malware-prosesser for å unngå oppdagelse. Process Hollowing-teknikken lar dotRunpeX kjøre ondsinnet kode innenfor legitime prosesser, noe som gjør det vanskelig for anti-malware-programvare å oppdage aktiviteten.
