DotRunpeX maakt gebruik van Process Hollowing om verdere malware te verspreiden
Een nieuw type malware, dotRunpeX genaamd, wordt gebruikt om verschillende bekende malwaretypen te verspreiden, zoals Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys en Vidar.
DotRunpeX is een recent ontwikkelde injector die gebruikmaakt van de process hollowing-techniek en die systemen infecteert met tal van bekende soorten malware. DotRunpeX wordt nog steeds actief ontwikkeld en wordt doorgaans via een downloader verzonden als malware in de tweede fase in de infectieketen, vaak verspreid via kwaadaardige bijlagen die via phishing-e-mails worden verzonden. Als alternatief gebruikt het ook kwaadaardige Google Ads om nietsvermoedende gebruikers die op zoek zijn naar populaire software zoals AnyDesk en LastPass om te leiden naar copycat-sites die installatieprogramma's met trojans bevatten.
Onlangs ontdekte artefacten van dotRunpeX gebruiken de KoiVM-virtualisatiebeschermer om een extra laag van verduistering toe te voegen. Volgens de analyse van Check Point heeft elke dotRunpeX-sample een specifieke ingebedde payload van malware die moet worden geïnjecteerd, waarbij de injector een lijst specificeert van anti-malwareprocessen die moeten worden beëindigd. Dit is mogelijk door gebruik te maken van een kwetsbaar Process Explorer-stuurprogramma (procexp.sys) dat in dotRunpeX is ingebouwd om in kernelmodus uit te voeren.
Er zijn aanwijzingen dat dotRunpeX mogelijk gelieerd is aan Russisch sprekende acteurs op basis van de taalreferenties in de code. De meest verspreide malwarefamilies via deze opkomende dreiging zijn RedLine, Raccoon, Vidar, Agent Tesla en FormBook.
Wat is Process Hollowing en hoe wordt het gebruikt door malware zoals dotRunpeX?
Process Hollowing is een techniek die door sommige malware wordt gebruikt om detectie door antimalwaresoftware te voorkomen. Het omvat het creëren van een nieuw proces in een onderbroken status en het vervangen van de code door kwaadaardige code voordat het proces wordt hervat, waardoor het legitieme proces effectief wordt gekaapt om kwaadaardige code uit te voeren. Op deze manier kan de malware onopgemerkt door antimalwaresoftware worden uitgevoerd omdat deze wordt uitgevoerd binnen een legitiem proces.
In het geval van dotRunpeX is het een nieuwe malware die Process Hollowing gebruikt om verschillende bekende malwarefamilies te injecteren, zoals Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys en Vidar in het systeem van een slachtoffer. Het is een .NET-injector die is geschreven in de .NET-programmeertaal en arriveert als malware van de tweede fase in de infectieketen, vaak geleverd via een downloader die wordt verzonden via phishing-e-mails of kwaadaardige bijlagen. De malware is ontworpen om systemen te infecteren met verschillende soorten malware die al bekend zijn en kan antimalwareprocessen beëindigen om detectie te voorkomen. De Process Hollowing-techniek stelt dotRunpeX in staat om kwaadaardige code uit te voeren binnen legitieme processen, waardoor het moeilijk wordt voor anti-malwaresoftware om de activiteit te detecteren.
