Новая вредоносная программа, получившая название «dotRunpeX», используется для распространения множества известных семейств вредоносов, таких как Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys, и Vidar.
«DotRunpeX - это новый инжектор, написанный на .NET с использованием техники Process Hollowing и используемый для заражения систем различными известными семействами вредоносных программ» - сообщается в отчете Check Point.
Как утверждается, dotRunpeX находится в стадии активной разработки, он появляется как второй этап в цепочке заражения, часто развертываясь через загрузчик (он же загрузчик), который передается через фишинговые письма в виде вредоносных вложений.
Кроме того, известно, что он использует вредоносную рекламу Google Ads на страницах результатов поиска, чтобы направить ничего не подозревающих пользователей, ищущих популярные программы, такие как AnyDesk и LastPass, на поддельные сайты, содержащие троянские программы установки.
Последние артефакты DotRunpeX, впервые замеченные в октябре 2022 года, добавляют дополнительный слой обфускации за счет использования виртуализационного защитника KoiVM.
Стоит отметить, что полученные данные совпадают с результатами кампании вредоносной рекламы, задокументированной SentinelOne в прошлом месяце, в которой компоненты загрузчика и инжектора были названы MalVirt.
Анализ Check Point также показал, что «каждый образец dotRunpeX имеет встроенную полезную нагрузку определенного семейства вредоносных программ для внедрения», при этом инжектор указывает список процессов защиты от вредоносного ПО, которые должны быть завершены.
Это, в свою очередь, становится возможным благодаря эксплуатации уязвимого драйвера проводника процессов (procexp.sys), который встроен в dotRunpeX, чтобы получить выполнение в режиме ядра.
Есть признаки того, что dotRunpeX может быть связан с русскоязычными хакерскими группами, судя по языковым ссылкам в коде. К наиболее часто распространяемым семействам вредоносных программ, создаваемых новой угрозой, относятся RedLine, Raccoon, Vidar, Agent Tesla и FormBook.
Источник: https://thehackernews.com
