Şu anda, DotRunpeX kötü amaçlı yazılımı öncelikle kimlik avı e-postaları ve kötü amaçlı Google Reklamları yoluyla dağıtıldığı ve kullanıcıların sistemleri için önemli bir tehdit oluşturduğu görülüyor.
Checkpoint araştırmacıları, Agent Tesla, FormBook, Ave Maria, NetWire, LokiBot, Raccoon Stealer, Remcos, RedLine Stealer, Vidar ve Rhadamanthys gibi bilinen birden çok kötü amaçlı yazılım ailesini dağıtan yeni bir kötü amaçlı yazılım keşfetti.
DotRunpeX olarak adlandırılan kötü amaçlı yazılım, .NET’te yazılmış, Process Hollowing tekniği kullanılarak oluşturulmuş ve sistemlere farklı kötü amaçlı yazılım ailelerini bulaştırmak için kullanılan yeni bir enjektördür.
Araştırmacılar, DotRunpeX’in aktif olarak geliştirildiğini kaydetti. Bulaşma zinciri, genellikle bir indirici veya kimlik avı e-postalarındaki kötü amaçlı ekler aracılığıyla teslim edilen bir yükleyici aracılığıyla dağıtılan ikinci aşama bir kötü amaçlı yazılım olarak sistemi işgal eder.
Ayrıca, LastPass ve AnyDesk gibi yaygın olarak kullanılan yazılımları aradıklarında şüphelenmeyen kullanıcıları yönlendirmek ve onları truva atına bulaşmış yükleyiciler sunan taklitçi sitelere göndermek için arama sonuçlarında görünen kötü amaçlı Google Reklamlarından yararlanabilir.
Enjektör oldukça yeni olmasına rağmen, önceki sürümleriyle paylaştığı bazı benzerlikler var. Örneğin, enjektörün adı, araştırmacıların analiz ettiği tüm örneklerde her iki sürüm için de aynı olan sürüm bilgisinden türetilmiştir. Ayrıca, ÜrünAdı – RunpeX.Stub.Framework içerdiğini de belirttiler.
Analizleri, her kötü amaçlı yazılım örneğinin, enjekte edilecek belirli bir kötü amaçlı yazılım ailesinin yerleşik bir yüküne sahip olduğunu ortaya çıkardı; bu, kötü amaçlı yazılıma dahil edilen savunmasız procexp.sys işlem gezgini sürücüsünün çekirdek modu yürütme elde etmek için kötüye kullanılmasıyla mümkün hale geldi.
Bağımsız araştırmacılar tarafından DotRunpeX ile ilgili herkese açık olarak paylaşılan verileri analiz ettiler, ancak kötü amaçlı yazılımın yanlış bir şekilde iyi bilinen bir kötü amaçlı yazılım ailesine atfedildiğini öğrendiler. Ayrıca birinci aşama yükleyici ile ikinci aşama yükleyici arasında bağlantı olmadığını öğrendiler.
DotRunpeX’in en son etkinliği Ekim 2022’de tespit edildi. KoiVM sanallaştırma koruyucusunun kullanılmasının fazladan bir karartma katmanı eklediği fark edildi. Bu bulgular, SentinelOne tarafından Şubat 2023’te keşfedilen bir kötü amaçlı reklam kampanyasına biraz benziyordu. Bu örnekte, yükleyici ve enjektör bileşenlerine MalVirt adı verildi.
Araştırmacılar, kodundaki dil referansları göz önüne alındığında, kötü amaçlı yazılımın Rusça konuşan gruplar tarafından işletilebileceğinden şüpheleniyorlar.
ALAKALI HABERLER
- Yeni YTStealer Kötü Amaçlı Yazılımı YouTube Kanallarını Ele Geçiriyor
- YouTube Eğitim Videoları Vidar, Raccoon Kötü Amaçlı Yazılım Yayıldı
- Kötüye kullanılan Adsense: Bir arka kapı saldırısında 11.000 site hacklendi
- Çoğu kötü amaçlı Office belgesi indirmesinin arkasındaki Google Drive
- Google Ads, sahte haberci, tarayıcı uygulamalarında FatalRAT’ı bıraktı