Nieuwe SVCReady verspreid via Malspam-campagne
Beveiligingsexperts van de tak voor dreigingsonderzoek van HP hebben hun bevindingen gepubliceerd over een nieuwe vorm van malware, SVCReady genaamd. De malware wordt verspreid via kwaadaardige e-mailspamcampagnes.
De eerste waarneming van SVCReady in het wild vond plaats eind april 2022. De malware werd verspreid via kwaadaardige MS Word-documentbestanden geladen met macro's die worden uitgevoerd bij openen. In tegenstelling tot de meeste malware die macro's gebruikt, maakt SVCReady echter geen gebruik van MSHTA- of PowerShell-opdrachten om zijn payload van internet te halen. In plaats daarvan gebruikt de nieuwe malware een andere slimme truc: het uitvoeren van shellcode die in de eigenschappenvelden van het bestand staat.
SVCReady zet een DLL-bestand in de tijdelijke map. Daarna kopieert de malware het legitieme rundll32-bestand van het systeem naar dezelfde map en hernoemt het. Vervolgens wordt de hernoemde kopie van rundll32 gebruikt om het kwaadaardige DLL-bestand uit te voeren.
De malware lijkt in actieve ontwikkeling te zijn, aangezien deze sinds eind april meerdere keren is bijgewerkt en het lijkt de ingrediënten van een persistentiemechanisme te hebben, maar het is defect en bereikt geen persistentie in de huidige staat.
SVCReady is gebruikt als een initiële payload om extra malware op geïnfecteerde systemen te leveren, waaronder de RedLine infostealer-malware.