Новости Новый вредонос dotRunpeX способен доставлять обширный список зловредного ПО на целевые компьютеры

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Продвинутый инжектор, предположительно, имеет «русские корни».


2xgfsa7i8yi385fx9n4mt609o2ycgp9q.jpg


Новое вредоносное ПО, получившее название «dotRunpeX», используется для распространения множества известных семейств вредоносных программ, таких как Agent Tesla , Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys и Vidar.

«dotRunpeX — это новый инжектор, написанный на .NET с использованием технологии Process Hollowing . Он используется злоумышленниками для заражения целевых систем различными известными семействами вредоносных программ», — говорится в Для просмотра ссылки Войди или Зарегистрируйся компании CheckPoint , опубликованном 15 марта.

Изученные исследователями образцы dotRunpeX представляют собой зловредное ПО второго этапа, часто развёртываемое через загрузчик, который доставляется на компьютер жертвы через фишинговые электронные письма в виде вредоносных вложений.

Кроме того, известно, что злоумышленники применяют в своей кампании вредоносную реклама Google Ads. Такая реклама перенаправляет ничего не подозревающих пользователей, ищущих популярное программное обеспечение по типу AnyDesk и LastPass, на сайты-подражатели, на которых и размещены троянские установщики.

Анализ Check Point показал, что «каждый образец dotRunpeX имеет встроенную полезную нагрузку определенного семейства вредоносных программ», при этом в инжекторе прописан жёсткий список процессов операционной системы, которые автоматически завершаются при активации вредоноса, чтобы избежать обнаружения. А последние образцы dotRunpeX также используют для этих целей средства защиты виртуализации KoiVM.

Специалисты CheckPoint также обнаружили некоторые признаки того, что dotRunpeX может быть связан с русскоязычными хакерами. На это указывает наличие кириллицы в используемых драйверах.

Наиболее часто распространяемые семейства вредоносных программ, доставляемые новой угрозой, включают RedLine, Raccoon, Vidar и Agent Tesla.


9xcm6qc3fquer07debuoyerpm86h9n8m.png


Перечень вредоносного ПО, внедряемого через dotRunpeX, по частоте использования

Исследователи CheckPoint прогнозируют дальнейшее развитие dotRunpeX, включающее добавление новых функций, поддержку большего числа вредоносных программ для внедрения в целевую систему, а также улучшенные алгоритмы уклонения от обнаружения.
 
Источник новости
www.securitylab.ru

Похожие темы