Nowa kampania SVCReady rozprzestrzeniania się poprzez malspam

Eksperci ds. bezpieczeństwa z oddziału HP zajmującego się badaniem zagrożeń opublikowali swoje odkrycia dotyczące nowego szczepu złośliwego oprogramowania o nazwie SVCReady. Złośliwe oprogramowanie rozprzestrzenia się za pomocą złośliwych kampanii spamowych e-mail.

Pierwsza obserwacja SVCReady na wolności miała miejsce pod koniec kwietnia 2022 r. Szkodnik rozprzestrzeniał się za pośrednictwem złośliwych plików dokumentów MS Word ładowanych z makrami uruchamianymi przy otwarciu. Jednak w przeciwieństwie do większości złośliwego oprogramowania, które używa makr, SVCReady nie wykorzystuje poleceń MSHTA ani PowerShell do pobierania swojego ładunku z Internetu. Zamiast tego nowe złośliwe oprogramowanie wykorzystuje inną sprytną sztuczkę – wykonuje szelkod, który jest zawarty w polach właściwości pliku.

SVCReady upuszcza plik DLL w folderze tymczasowym. Następnie złośliwe oprogramowanie kopiuje legalny plik rundll32 systemu do tego samego katalogu i zmienia jego nazwę. Następnie kopia rundll32 o zmienionej nazwie jest używana do wykonania złośliwego pliku DLL.

Szkodnik wydaje się być aktywnie rozwijany, ponieważ był wielokrotnie aktualizowany od końca kwietnia i wydaje się, że posiada mechanizm trwałości, ale jest wadliwy i w obecnym stanie nie osiąga trwałości.

SVCReady był używany jako początkowy ładunek do dostarczania dodatkowego złośliwego oprogramowania do zainfekowanych systemów, w tym złośliwego oprogramowania typu infostealer RedLine.