Yeni DotRunpeX Kötü Amaçlı Yazılımı, Kötü Amaçlı Reklamlar Yoluyla Birden Çok Kötü Amaçlı Yazılım Ailesi Sunuyor


20 Mart 2023Ravie LakshmananSiber Tehdit / Kötü Amaçlı Yazılım

DotRunpeX Kötü Amaçlı Yazılım

adlı yeni bir kötü amaçlı yazılım parçası dotRunpeX Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys ve Vidar gibi çok sayıda bilinen kötü amaçlı yazılım ailesini dağıtmak için kullanılıyor.

Check Point geçen hafta yayınlanan bir raporda “DotRunpeX, Process Hollowing tekniği kullanılarak .NET’te yazılmış ve sistemlere bilinen çeşitli kötü amaçlı yazılım ailelerini bulaştırmak için kullanılan yeni bir enjektördür” dedi.

Aktif geliştirme aşamasında olduğu söylenen dotRunpeX, genellikle kimlik avı e-postaları aracılığıyla kötü amaçlı ekler olarak iletilen bir indirici (yükleyici olarak da bilinir) aracılığıyla dağıtılan bulaşma zincirinde ikinci aşama bir kötü amaçlı yazılım olarak gelir.

Alternatif olarak, AnyDesk ve LastPass gibi popüler yazılımları arayan şüphelenmeyen kullanıcıları truva atı bulaşmış yükleyicileri barındıran taklit sitelere yönlendirmek için arama sonucu sayfalarında kötü amaçlı Google Reklamlarından yararlandığı bilinmektedir.

İlk olarak Ekim 2022’de tespit edilen en son DotRunpeX yapıları, KoiVM sanallaştırma koruyucusunu kullanarak ekstra bir karartma katmanı ekler.

DotRunpeX Kötü Amaçlı Yazılım

Bulguların, geçen ay SentinelOne tarafından belgelenen, yükleyici ve enjektör bileşenlerinin topluca MalVirt olarak anıldığı bir kötü amaçlı reklam kampanyasıyla örtüştüğünü belirtmekte fayda var.

Check Point’in analizi ayrıca “her dotRunpeX örneğinin, enjekte edilecek belirli bir kötü amaçlı yazılım ailesinin yerleşik bir yüküne sahip olduğunu” ve enjektörün sonlandırılacak kötü amaçlı yazılımdan koruma işlemlerinin bir listesini belirttiğini ortaya çıkardı.

WEBİNAR

Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin

Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.

KOLTUĞUNUZU AYIRTIN

Bu da, dotRunpeX’e dahil edilmiş güvenlik açığı bulunan bir işlem gezgini sürücüsünün (procexp.sys) çekirdek modu yürütme elde etmek için kötüye kullanılmasıyla mümkün olur.

Koddaki dil referanslarına göre dotRunpeX’in Rusça konuşan aktörlerle ilişkilendirilebileceğine dair işaretler var. Ortaya çıkan tehdit tarafından sunulan en sık dağıtılan kötü amaçlı yazılım aileleri arasında RedLine, Raccoon, Vidar, Agent Tesla ve FormBook yer alır.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içeriği okumak için LinkedIn.





Source link