DotRunpeX 使用 Process Hollowing 傳播更多惡意軟件
一種稱為 dotRunpeX 的新型惡意軟件被用於傳播各種已知的惡意軟件類型,例如 Agent Tesla、Ave Maria、BitRAT、FormBook、LokiBot、NetWire、Raccoon Stealer、RedLine Stealer、Remcos、Rhadamanthys 和 Vidar。
DotRunpeX 是最近開發的一種利用進程挖空技術的注入器,它會感染具有多種已知惡意軟件類型的系統。 DotRunpeX 仍在積極開發中,通常作為感染鏈中的第二階段惡意軟件通過下載器傳播,通常通過網絡釣魚電子郵件發送的惡意附件傳播。或者,它還使用惡意 Google Ads 將正在搜索 AnyDesk 和 LastPass 等流行軟件的毫無戒心的用戶重定向到包含木馬化安裝程序的山寨網站。
最近發現的 dotRunpeX 工件使用 KoiVM 虛擬化保護器來添加額外的混淆層。根據 Check Point 的分析,每個 dotRunpeX 樣本都有一個要注入的特定嵌入式惡意軟件有效負載,注入器指定要終止的反惡意軟件進程列表。這可以通過利用併入 dotRunpeX 的易受攻擊的進程瀏覽器驅動程序 (procexp.sys) 在內核模式下執行來實現。
有一些證據表明,根據代碼中的語言參考,dotRunpeX 可能與說俄語的演員有關聯。通過這種新興威脅傳播最頻繁的惡意軟件系列包括 RedLine、Raccoon、Vidar、Agent Tesla 和 FormBook。
什麼是 Process Hollowing 以及 dotRunpeX 等惡意軟件如何使用它?
Process Hollowing 是一些惡意軟件用來避免被反惡意軟件檢測到的技術。它涉及創建一個處於掛起狀態的新進程,並在恢復進程之前用惡意代碼替換其代碼,從而有效地劫持合法進程來執行惡意代碼。這樣,惡意軟件可以在未被反惡意軟件檢測到的情況下運行,因為它是在合法進程中執行的。
對於 dotRunpeX,它是一種新的惡意軟件,它利用 Process Hollowing 注入各種已知的惡意軟件系列,例如 Agent Tesla、Ave Maria、BitRAT、FormBook、LokiBot、NetWire、Raccoon Stealer、RedLine Stealer、Remcos、Rhadamanthys 和Vidar 進入受害者的系統。它是一個用 .NET 編程語言編寫的 .NET 注入器,作為感染鏈中的第二階段惡意軟件到達,通常通過通過網絡釣魚電子郵件或惡意附件傳輸的下載器傳送。該惡意軟件旨在用已知的各種類型的惡意軟件感染系統,並且可以終止反惡意軟件進程以避免檢測。 Process Hollowing 技術允許 dotRunpeX 在合法進程中執行惡意代碼,使反惡意軟件難以檢測到該活動。