DotRunpeX использует очистку процессов для дальнейшего распространения вредоносного ПО
Новый тип вредоносного ПО, известный как dotRunpeX, используется для распространения различных известных типов вредоносных программ, таких как Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys и Vidar.
DotRunpeX — это недавно разработанный инжектор, который использует технику очистки процессов и заражает системы многочисленными уже известными типами вредоносных программ. DotRunpeX все еще активно разрабатывается и обычно передается как вредоносное ПО второго этапа в цепочке заражения через загрузчик, часто распространяемый через вредоносные вложения, отправляемые через фишинговые электронные письма. Кроме того, он также использует вредоносную рекламу Google Ads для перенаправления ничего не подозревающих пользователей, которые ищут популярное программное обеспечение, такое как AnyDesk и LastPass, на сайты-подражатели, содержащие троянские установщики.
Недавно обнаруженные артефакты dotRunpeX используют средство защиты виртуализации KoiVM для добавления дополнительного уровня запутывания. Согласно анализу Check Point, каждый образец dotRunpeX имеет конкретную встроенную полезную нагрузку вредоносного ПО, которое необходимо внедрить, причем инжектор указывает список процессов защиты от вредоносных программ, которые необходимо завершить. Это возможно за счет использования уязвимого драйвера обозревателя процессов (procexp.sys), встроенного в dotRunpeX, для выполнения в режиме ядра.
Есть некоторые свидетельства того, что dotRunpeX может быть связан с русскоязычными субъектами, основываясь на языковых ссылках в коде. Наиболее часто распространяемые семейства вредоносных программ с помощью этой новой угрозы включают RedLine, Raccoon, Vidar, Agent Tesla и FormBook.
Что такое опустошение процессов и как оно используется вредоносными программами, такими как dotRunpeX?
Process Hollowing — это метод, используемый некоторыми вредоносными программами, чтобы избежать обнаружения антивирусным программным обеспечением. Он включает в себя создание нового процесса в приостановленном состоянии и замену его кода вредоносным кодом перед возобновлением процесса, фактически перехватывая законный процесс для выполнения вредоносного кода. Таким образом, вредоносное ПО может работать незамеченным антивирусным программным обеспечением, поскольку оно выполняется в рамках легитимного процесса.
В случае dotRunpeX это новое вредоносное ПО, использующее Process Hollowing для внедрения множества известных семейств вредоносных программ, таких как Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys и Видар в систему жертвы. Это инжектор .NET, написанный на языке программирования .NET и являющийся вредоносной программой второго этапа в цепочке заражения, часто доставляемый через загрузчик, который передается через фишинговые электронные письма или вредоносные вложения. Это вредоносное ПО предназначено для заражения систем различными типами уже известных вредоносных программ и может прерывать процессы защиты от вредоносных программ, чтобы избежать обнаружения. Техника Process Hollowing позволяет dotRunpeX выполнять вредоносный код внутри легитимных процессов, что затрудняет обнаружение активности программным обеспечением для защиты от вредоносных программ.