目前,DotRunpeX恶意软件似乎主要通过网络钓鱼电子邮件和恶意Google Ads进行分发,对用户系统构成重大威胁。Checkpoint研究人员发现了一种新的恶意软件,它分布多个已知的恶意软件家族,包括Agent Tesla、FormBook、Ave Maria、NetWire、LokiBot、Raccoon Stealer、Remcos、RedLine Stealer、Vidar和Rhadamanthys。该恶意软件被称为DotRunpeX,是一种用.NET编写的新注入器,使用Process Hollowing技术创建,用于感染具有不同恶意软件家族的系统。
研究人员指出,DotRunpeX正在积极开发中。它的感染链作为第二阶段恶意软件入侵系统,通常通过下载器或加载器部署,通过网络钓鱼电子邮件中的恶意附件传递。
此外,它还可以利用出现在搜索结果中的恶意Google Ads在毫无戒心的用户搜索LastPass和AnyDesk等常用软件时将其引导至提供木马化安装程序的山寨网站。
尽管注入器相当新,但它与以前的版本有一些相似之处。例如,注射器的名称源自其版本信息,研究人员分析的所有样本的两个版本都相同。他们还注意到它包含ProductName – RunpeX.Stub.Framework。
他们的分析表明,每个恶意软件样本都嵌入了要注入的特定恶意软件家族的有效负载,这可以通过滥用包含在恶意软件中的易受攻击的procexp.sys进程资源管理器驱动程序来获得内核模式执行来实现。
他们分析了独立研究人员公开共享的有关DotRunpeX的数据,但了解到该恶意软件被错误归因于一个众所周知的恶意软件家族。此外,他们还了解到,第一阶段装载机和第二阶段装载机没有任何联系。
DotRunpeX的最新活动是在2022年10月检测到的。注意到使用KoiVM虚拟化保护程序会增加一个额外的混淆层。这些发现与SentinelOne在2023年2月发现的恶意广告活动有些相似。在这种情况下,加载器和注入器组件被称为MalVirt。
鉴于其代码中提到的语言,研究人员怀疑该恶意软件可能由讲俄语的团体操作。
评论已关闭。