DotRunpeX usa Process Hollowing para espalhar mais malware

Um novo tipo de malware conhecido como dotRunpeX está sendo usado para espalhar vários tipos de malware conhecidos como Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys e Vidar.

O DotRunpeX é um injetor desenvolvido recentemente que utiliza a técnica de esvaziamento do processo e infecta sistemas com vários tipos de malware já conhecidos. O DotRunpeX ainda está sendo desenvolvido ativamente e normalmente é transmitido como um malware de segundo estágio na cadeia de infecção por meio de um downloader, geralmente espalhado por meio de anexos maliciosos enviados por e-mails de phishing. Como alternativa, ele também usa anúncios maliciosos do Google para redirecionar usuários desavisados que estão procurando por software popular como AnyDesk e LastPass para sites copiados contendo instaladores trojanizados.

Artefatos do dotRunpeX descobertos recentemente usam o protetor de virtualização KoiVM para adicionar uma camada extra de ofuscação. De acordo com a análise da Check Point, cada amostra dotRunpeX tem uma carga específica incorporada de malware a ser injetado, com o injetor especificando uma lista de processos antimalware a serem encerrados. Isso é possível explorando um driver explorador de processo vulnerável (procexp.sys) incorporado ao dotRunpeX para executar no modo kernel.

Há algumas evidências que sugerem que o dotRunpeX pode ser afiliado a atores de língua russa com base nas referências de idioma no código. As famílias de malware entregues com mais frequência por meio dessa ameaça emergente incluem RedLine, Raccoon, Vidar, Agent Tesla e FormBook.

O que é Process Hollowing e como ele é usado por malware como o dotRunpeX?

Process Hollowing é uma técnica usada por alguns malwares para evitar a detecção por software antimalware. Envolve a criação de um novo processo em um estado suspenso e a substituição de seu código por código malicioso antes de retomar o processo, sequestrando efetivamente o processo legítimo para executar o código malicioso. Dessa forma, o malware pode ser executado sem ser detectado pelo software antimalware porque está sendo executado em um processo legítimo.

No caso do dotRunpeX, é um novo malware que utiliza Process Hollowing para injetar uma variedade de famílias de malware conhecidas, como Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys e Vidar no sistema da vítima. É um injetor .NET escrito na linguagem de programação .NET e chega como um malware de segundo estágio na cadeia de infecção, geralmente distribuído por meio de um downloader que é transmitido por e-mails de phishing ou anexos maliciosos. O malware é projetado para infectar sistemas com vários tipos de malware já conhecidos e pode encerrar processos antimalware para evitar a detecção. A técnica de Process Hollowing permite que o dotRunpeX execute códigos maliciosos em processos legítimos, tornando difícil para o software antimalware detectar a atividade.