adlı yeni bir kötü amaçlı yazılım parçası dotRunpeX Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys ve Vidar gibi çok sayıda bilinen kötü amaçlı yazılım ailesini dağıtmak için kullanılıyor.
Check Point geçen hafta yayınlanan bir raporda “DotRunpeX, Process Hollowing tekniği kullanılarak .NET’te yazılmış ve sistemlere bilinen çeşitli kötü amaçlı yazılım ailelerini bulaştırmak için kullanılan yeni bir enjektördür” dedi.
Aktif geliştirme aşamasında olduğu söylenen dotRunpeX, genellikle kimlik avı e-postaları aracılığıyla kötü amaçlı ekler olarak iletilen bir indirici (yükleyici olarak da bilinir) aracılığıyla dağıtılan bulaşma zincirinde ikinci aşama bir kötü amaçlı yazılım olarak gelir.
Alternatif olarak, AnyDesk ve LastPass gibi popüler yazılımları arayan şüphelenmeyen kullanıcıları truva atı bulaşmış yükleyicileri barındıran taklit sitelere yönlendirmek için arama sonucu sayfalarında kötü amaçlı Google Reklamlarından yararlandığı bilinmektedir.
İlk olarak Ekim 2022’de tespit edilen en son DotRunpeX yapıları, KoiVM sanallaştırma koruyucusunu kullanarak ekstra bir karartma katmanı ekler.
Bulguların, geçen ay SentinelOne tarafından belgelenen, yükleyici ve enjektör bileşenlerinin topluca MalVirt olarak anıldığı bir kötü amaçlı reklam kampanyasıyla örtüştüğünü belirtmekte fayda var.
Check Point’in analizi ayrıca “her dotRunpeX örneğinin, enjekte edilecek belirli bir kötü amaçlı yazılım ailesinin yerleşik bir yüküne sahip olduğunu” ve enjektörün sonlandırılacak kötü amaçlı yazılımdan koruma işlemlerinin bir listesini belirttiğini ortaya çıkardı.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Bu da, dotRunpeX’e dahil edilmiş güvenlik açığı bulunan bir işlem gezgini sürücüsünün (procexp.sys) çekirdek modu yürütme elde etmek için kötüye kullanılmasıyla mümkün olur.
Koddaki dil referanslarına göre dotRunpeX’in Rusça konuşan aktörlerle ilişkilendirilebileceğine dair işaretler var. Ortaya çıkan tehdit tarafından sunulan en sık dağıtılan kötü amaçlı yazılım aileleri arasında RedLine, Raccoon, Vidar, Agent Tesla ve FormBook yer alır.