Новый SVCReady распространяется через кампанию Malspam

Эксперты по безопасности из отдела исследования угроз HP опубликовали свои выводы о новом штамме вредоносного ПО, получившем название SVCReady. Вредоносное ПО распространяется с помощью вредоносных спам-кампаний по электронной почте.

Первое обнаружение SVCReady в дикой природе произошло в конце апреля 2022 года. Вредоносное ПО распространялось через вредоносные файлы документов MS Word, загруженные макросами, которые выполняются при открытии. Однако, в отличие от большинства вредоносных программ, использующих макросы, SVCReady не использует команды MSHTA или PowerShell для получения своей полезной нагрузки из Интернета. Вместо этого новое вредоносное ПО использует другой хитрый прием — выполнение шелл-кода, который содержится в полях свойств файла.

SVCReady помещает DLL-файл во временную папку. После этого вредоносная программа копирует легитимный системный файл rundll32 в тот же каталог и переименовывает его. Затем переименованная копия rundll32 используется для запуска вредоносного DLL-файла.

Вредоносная программа, похоже, находится в активной разработке, поскольку с конца апреля она несколько раз обновлялась и, по-видимому, имеет задатки механизма сохранения, но она неисправна и на самом деле не обеспечивает сохранения в текущем состоянии.

SVCReady использовался в качестве начальной полезной нагрузки для доставки дополнительных вредоносных программ на зараженные системы, включая вредоносное ПО RedLine infostealer.