Ny SVCReady sprids genom Malspam-kampanj
Säkerhetsexperter från HPs hotforskningsgren publicerade sina resultat om en ny skadlig stam, kallad SVCReady. Skadlig programvara sprids med skadliga spam-e-postkampanjer.
Den första iakttagelsen av SVCReady i det vilda ägde rum i slutet av april 2022. Skadlig programvara spreds genom skadliga MS Word-dokumentfiler laddade med makron som körs på öppen. Men till skillnad från de flesta skadliga program som använder makron, använder SCReady inte MSHTA- eller PowerShell-kommandon för att ta sin nyttolast från Internet. Istället använder den nya skadliga programvaran ett annat smart knep - exekvera skalkod som finns i filens egenskapsfält.
SVCReady släpper en DLL-fil i den tillfälliga mappen. Efter det kopierar skadlig programvara systemets legitima rundll32-fil till samma katalog och byter namn på den. Sedan används den omdöpta kopian av rundll32 för att köra den skadliga DLL-filen.
Skadlig programvara verkar vara under aktiv utveckling, eftersom den har uppdaterats flera gånger sedan slutet av april och den verkar ha förutsättningarna för en beständighetsmekanism, men den är felaktig och uppnår faktiskt inte beständighet i det nuvarande tillståndet.
SVCReady har använts som en initial nyttolast för att leverera ytterligare skadlig programvara på infekterade system, inklusive RedLine infostealer malware.