DotRunpeX, bu kötü amaçlı yazılımın çok çeşitli diğer kötü amaçlı yazılım türlerini dağıttığı “Process Hollowing” yöntemini kullanan yeni ve en gizli .NET enjektörlerinden biridir.
Check Point’teki siber güvenlik araştırmacıları, yakın zamanda DotRunpeX kötü amaçlı yazılımını yakından izleyip gözlemledikten sonra DotRunpeX kötü amaçlı yazılımının gerçek dünyadaki kullanımını ve kampanyayla ilgili bulaşma yollarını ortaya çıkardı.
Ek olarak araştırmacılar, Cyber Security News’e gönderdikleri bir raporda DotRunpeX kötü amaçlı yazılım enjektörünün hızla geliştiğini ve geliştiğini doğruladı.
dotRunpeX’in yeni sürümü aşağıdaki özelliklerle desteklenmektedir.
- KoiVM sanallaştırıcının özelleştirilmiş bir sürümü tarafından korunur
- Yüksek düzeyde yapılandırılabilir (Kötü Amaçlı Yazılımdan Koruma hizmetlerini devre dışı bırakma, VM’den Koruma, Korumalı Alandan Koruma, kalıcılık ayarları, yük şifre çözme anahtarı, UAC baypas yöntemleri)
- Daha fazla UAC Bypass tekniği
- Enjekte edilecek ana yükün şifresini çözmek için basit XOR kullanma (en son geliştirilen sürümlerde atlanmıştır)
- Procexp sürücüsünü kötüye kullanmak (sysinternals) korumalı işlemleri sonlandırmak için (Kötü Amaçlı Yazılımdan Koruma hizmetleri)
- Rusya merkezli olmanın belirtileri – procexp sürücü adı
Иисус.sys
“ olarak çevrildiisa.sys”
DotRunpeX tarafından sağlanan kötü amaçlı yazılım aileleri
Aşağıda, DotRunpeX’in sunduğu tüm kötü amaçlı yazılım ailelerinden bahsetmiştik:
- AjanTesla
- OkRAT
- Eşzamansız Sıçan
- AveMaria/WarzoneRAT
- BitRAT
- form defteri
- LgoogYükleyici
- Lokibot
- Net Tel
- Özel Yükleyici
- QuasarRAT
- RecordBreaker – Rakun Hırsızı 2.0
- Kırmızı cizgi
- Remcos
- Rhadamanthys
- YılanKeylogger
- Daha öte
- X solucanı
Teknik Analiz
DotRunpeX, kimlik avı e-postalarındaki veya gizlenmiş yardımcı program sitelerindeki farklı .NET yükleyicileri aracılığıyla genellikle ilk bulaşmayı takip eder. Google Ads’den yararlanır ve truva atı haline getirilmiş kötü amaçlı yazılım oluşturma araçlarıyla rakiplerini hedefler.
Halihazırda aşağıdaki popüler yazılımları arayan kullanıcılar, bu enjektör tarafından Google Reklamlarını kullanarak bu yazılımı taklit eden sahte klonlanmış ve kötü amaçlı web sitelerine yönlendirildi:
Olağan bulaşma yollarının ötesinde benzersiz bir DotRunpeX vakası ortaya çıktı; bir DotRunpeX kullanıcısı, ‘ekstra’ olarak gizli DotRunpeX ile truva atı haline getirilmiş bir Redline oluşturucu (Redline_20_2_crack.rar) kullanarak hem normal kurbanları hem de potansiyel düşmanları hedef aldı.
Bunun dışında, KoiVM sanallaştırıcının özelleştirilmiş bir sürümü, DotRunpeX’in yeni sürümünü korur ve yüksek düzeyde yapılandırılabilir.
Yeni ve eski arasındaki en dikkate değer benzerlik, 64-bit çalıştırılabilir dosyaları olsa da, çeşitli kötü amaçlı yazılım ailelerini enjekte ederler.
DotRunpeX, korumalı işlem tutamaçlarını kapatmak için “procexp.sys” kullanarak AV çözümlerinden kaçınır. Ayrıca tüm aktif Kötü Amaçlı Yazılımdan Koruma hizmetlerini de etkili bir şekilde öldürür.
Devam eden evrimle DotRunpeX enjektörü, güvenlik analistleri ve tehdit aktörlerinin artan ilgisini çekerek istikrarlı bir şekilde özellikler kazanıyor.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesap Devri, İş E-postası Ele Geçirme, Kötü Amaçlı Yazılım ve Fidye Yazılım gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir.
Ücretsiz demo