DotRunpeX använder Process Hollowing för att sprida ytterligare skadlig programvara
En ny typ av skadlig programvara känd som dotRunpeX används för att sprida olika typer av skadlig programvara som Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys och Vidar.
DotRunpeX är en nyligen utvecklad injektor som använder tekniken för processhålning, och den infekterar system med många typer av skadlig kod som redan är kända. DotRunpeX utvecklas fortfarande aktivt och överförs vanligtvis som skadlig kod i andra steget i infektionskedjan via en nedladdare, ofta spridd via skadliga bilagor som skickas via nätfiske-e-post. Alternativt använder den också skadliga Google Ads för att omdirigera intet ont anande användare som söker efter populär programvara som AnyDesk och LastPass till kopieringswebbplatser som innehåller trojaniserade installationsprogram.
Nyligen upptäckta artefakter av dotRunpeX använder KoiVM-virtualiseringsskyddet för att lägga till ett extra lager av förvirring. Enligt Check Points analys har varje dotRunpeX-prov en specifik inbäddad nyttolast av skadlig programvara som ska injiceras, med injektorn som specificerar en lista över anti-malware-processer som ska avslutas. Detta är möjligt genom att utnyttja en sårbar drivrutin för processutforskare (procexp.sys) som är inbyggd i dotRunpeX för att köras i kärnläge.
Det finns några bevis som tyder på att dotRunpeX kan vara ansluten till rysktalande skådespelare baserat på språkreferenserna i koden. De mest frekvent levererade malwarefamiljerna genom detta framväxande hot inkluderar RedLine, Raccoon, Vidar, Agent Tesla och FormBook.
Vad är Process Hollowing och hur används det av skadlig programvara som dotRunpeX?
Process Hollowing är en teknik som används av vissa skadliga program för att undvika upptäckt av anti-malware-program. Det innebär att skapa en ny process i ett avstängt tillstånd och ersätta dess kod med skadlig kod innan processen återupptas, vilket effektivt kapar den legitima processen för att exekvera skadlig kod. På så sätt kan den skadliga programvaran köras oupptäckt av anti-malware-programvara eftersom den exekveras inom en legitim process.
När det gäller dotRunpeX är det en ny skadlig programvara som använder Process Hollowing för att injicera en mängd kända skadliga programfamiljer som Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys och Vidar in i ett offers system. Det är en .NET-injektor som är skriven i .NET-programmeringsspråket och som anländer som ett andrastegs skadlig kod i infektionskedjan, ofta levererad via en nedladdare som överförs via nätfiske-e-postmeddelanden eller skadliga bilagor. Skadlig programvara är utformad för att infektera system med olika typer av skadlig programvara som redan är kända och kan avsluta anti-malware-processer för att undvika upptäckt. Process Hollowing-tekniken tillåter dotRunpeX att exekvera skadlig kod inom legitima processer, vilket gör det svårt för anti-malware-programvara att upptäcka aktiviteten.
