DotRunpeX 使用 Process Hollowing 传播更多恶意软件

一种称为 dotRunpeX 的新型恶意软件被用于传播各种已知的恶意软件类型，例如 Agent Tesla、Ave Maria、BitRAT、FormBook、LokiBot、NetWire、Raccoon Stealer、RedLine Stealer、Remcos、Rhadamanthys 和 Vidar。

DotRunpeX 是最近开发的一种利用进程挖空技术的注入器，它会感染具有多种已知恶意软件类型的系统。 DotRunpeX 仍在积极开发中，通常作为感染链中的第二阶段恶意软件通过下载器传播，通常通过网络钓鱼电子邮件发送的恶意附件传播。或者，它还使用恶意 Google Ads 将正在搜索 AnyDesk 和 LastPass 等流行软件的毫无戒心的用户重定向到包含木马化安装程序的山寨网站。

最近发现的 dotRunpeX 工件使用 KoiVM 虚拟化保护器来添加额外的混淆层。根据 Check Point 的分析，每个 dotRunpeX 样本都有一个要注入的特定嵌入式恶意软件有效负载，注入器指定要终止的反恶意软件进程列表。这可以通过利用并入 dotRunpeX 的易受攻击的进程浏览器驱动程序 (procexp.sys) 在内核模式下执行来实现。

有一些证据表明，根据代码中的语言参考，dotRunpeX 可能与说俄语的演员有关联。通过这种新兴威胁传播最频繁的恶意软件系列包括 RedLine、Raccoon、Vidar、Agent Tesla 和 FormBook。

什么是 Process Hollowing 以及 dotRunpeX 等恶意软件如何使用它？

Process Hollowing 是一些恶意软件用来避免被反恶意软件检测到的技术。它涉及创建一个处于挂起状态的新进程，并在恢复进程之前用恶意代码替换其代码，从而有效地劫持合法进程来执行恶意代码。这样，恶意软件可以在未被反恶意软件检测到的情况下运行，因为它是在合法进程中执行的。

对于 dotRunpeX，它是一种新的恶意软件，它利用 Process Hollowing 注入各种已知的恶意软件系列，例如 Agent Tesla、Ave Maria、BitRAT、FormBook、LokiBot、NetWire、Raccoon Stealer、RedLine Stealer、Remcos、Rhadamanthys 和Vidar 进入受害者的系统。它是一个用 .NET 编程语言编写的 .NET 注入器，作为感染链中的第二阶段恶意软件到达，通常通过通过网络钓鱼电子邮件或恶意附件传输的下载器传送。该恶意软件旨在用已知的各种类型的恶意软件感染系统，并且可以终止反恶意软件进程以避免检测。 Process Hollowing 技术允许 dotRunpeX 在合法进程中执行恶意代码，使反恶意软件难以检测到该活动。