Nova campanha SVCReady Spread Through Malspam
Especialistas em segurança do ramo de pesquisa de ameaças da HP publicaram suas descobertas sobre uma nova variedade de malware, apelidada de SVCReady. O malware está sendo espalhado usando campanhas maliciosas de e-mail de spam.
O primeiro avistamento do SVCReady na natureza ocorreu no final de abril de 2022. O malware foi espalhado por meio de arquivos maliciosos de documentos do MS Word carregados com macros que são executadas em aberto. No entanto, ao contrário da maioria dos malwares que usam macros, o SVCReady não usa comandos MSHTA ou PowerShell para obter sua carga da Internet. Em vez disso, o novo malware usa outro truque inteligente - executar o shellcode contido nos campos de propriedade do arquivo.
SVCReady descarta um arquivo DLL na pasta temporária. Depois disso, o malware copia o arquivo rundll32 legítimo do sistema para o mesmo diretório e o renomeia. Em seguida, a cópia renomeada de rundll32 é usada para executar o arquivo DLL malicioso.
O malware parece estar em desenvolvimento ativo, pois foi atualizado várias vezes desde o final de abril e parece ter os ingredientes de um mecanismo de persistência, mas está com defeito e não alcança a persistência no estado atual.
O SVCReady foi usado como uma carga inicial para fornecer malware adicional em sistemas infectados, incluindo o malware infostealer RedLine.
