DotRunpeX wykorzystuje drążenie procesu do rozprzestrzeniania dalszego złośliwego oprogramowania
Nowy typ złośliwego oprogramowania znany jako dotRunpeX jest wykorzystywany do rozprzestrzeniania różnych znanych typów złośliwego oprogramowania, takich jak Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys i Vidar.
DotRunpeX to niedawno opracowany wtryskiwacz, który wykorzystuje technikę drążenia procesów i infekuje systemy wieloma znanymi już rodzajami złośliwego oprogramowania. DotRunpeX jest nadal aktywnie rozwijany i zazwyczaj jest przesyłany jako złośliwe oprogramowanie drugiego etapu w łańcuchu infekcji za pośrednictwem downloadera, często rozprzestrzeniając się za pośrednictwem złośliwych załączników wysyłanych za pośrednictwem wiadomości phishingowych. Alternatywnie, wykorzystuje również złośliwe reklamy Google Ads do przekierowywania niczego niepodejrzewających użytkowników, którzy szukają popularnego oprogramowania, takiego jak AnyDesk i LastPass, na kopiowane strony zawierające trojanizowane instalatory.
Niedawno odkryte artefakty dotRunpeX wykorzystują ochronę wirtualizacji KoiVM, aby dodać dodatkową warstwę zaciemniania. Zgodnie z analizą firmy Check Point, każda próbka dotRunpeX ma określony osadzony ładunek złośliwego oprogramowania do wstrzyknięcia, a wtryskiwacz określa listę procesów anty-malware do zakończenia. Jest to możliwe dzięki wykorzystaniu podatnego na ataki sterownika eksploratora procesów (procexp.sys) wbudowanego w dotRunpeX w celu wykonania w trybie jądra.
Istnieją pewne dowody sugerujące, że dotRunpeX może być powiązany z rosyjskojęzycznymi aktorami na podstawie odniesień językowych w kodzie. Rodziny szkodliwego oprogramowania, które są najczęściej dostarczane za pośrednictwem tego nowego zagrożenia, to RedLine, Raccoon, Vidar, Agent Tesla i FormBook.
Co to jest drążenie procesów i jak jest wykorzystywane przez złośliwe oprogramowanie, takie jak dotRunpeX?
Process Hollowing to technika stosowana przez niektóre złośliwe oprogramowanie w celu uniknięcia wykrycia przez oprogramowanie chroniące przed złośliwym oprogramowaniem. Polega ona na utworzeniu nowego procesu w stanie zawieszenia i zastąpieniu jego kodu złośliwym kodem przed wznowieniem procesu, skutecznie przejmując kontrolę nad prawidłowym procesem w celu wykonania złośliwego kodu. W ten sposób złośliwe oprogramowanie może działać niewykryte przez oprogramowanie chroniące przed złośliwym oprogramowaniem, ponieważ jest wykonywane w ramach legalnego procesu.
W przypadku dotRunpeX jest to nowe złośliwe oprogramowanie, które wykorzystuje Process Hollowing do wstrzykiwania różnych znanych rodzin złośliwego oprogramowania, takich jak Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys i Vidar do systemu ofiary. Jest to wtryskiwacz .NET napisany w języku programowania .NET i pojawia się jako złośliwe oprogramowanie drugiego etapu w łańcuchu infekcji, często dostarczane za pośrednictwem narzędzia do pobierania, które jest przesyłane za pośrednictwem wiadomości phishingowych lub złośliwych załączników. Złośliwe oprogramowanie jest przeznaczone do infekowania systemów różnymi typami złośliwego oprogramowania, które są już znane i mogą przerywać procesy anty-malware, aby uniknąć wykrycia. Technika Process Hollowing umożliwia dotRunpeX wykonywanie złośliwego kodu w legalnych procesach, co utrudnia wykrywanie aktywności przez oprogramowanie antymalware.
