Notícias de dispositivos móveis, gadgets, aplicativos Android

DotRunpeX Malware Injector fornece amplamente famílias de malware conhecidas para atacar Windows

DotRunpeX é um dos novos e mais furtivos injetores .NET que emprega o método “Process Hollowing”, por meio do qual esse malware distribui uma ampla gama de outras cepas de malware.

Os pesquisadores de segurança cibernética da Check Point revelaram recentemente o uso no mundo real e os caminhos de infecção relacionados à campanha do malware DotRunpeX, após monitorar e observar de perto o malware DotRunpeX.

Além disso, os pesquisadores confirmaram em um relatório eles enviaram ao Cyber ​​Security News que o injetor de malware DotRunpeX está se desenvolvendo e evoluindo rapidamente.

A nova versão do dotRunpeX é equipada com os seguintes recursos.

  • Protegido por uma versão personalizada do Virtualizador KoiVM
  • Altamente configurável (desativação de serviços antimalware, anti-VM, anti-sandbox, configurações de persistência, chave para descriptografia de carga útil, métodos de desvio de UAC)
  • Mais técnicas de desvio de UAC
  • Usando XOR simples para descriptografar a carga principal a ser injetada (omitido nas últimas versões desenvolvidas)
  • Abusando do driver procexp (Sysinternals) para eliminar processos protegidos (serviços antimalware)
  • Sinais de ser baseado na Rússia – nome do driver procexp Иисус.sys traduzido como “jesus.sys”

Famílias de malware entregues por DotRunpeX

Abaixo, mencionamos todas as famílias de malware que o DotRunpeX oferece:

  • AgenteTesla
  • FlechaRAT
  • AsyncRat
  • AveMaria/WarzoneRAT
  • BitRAT
  • Formulário
  • LGLoader
  • Lokibot
  • NetWire
  • Carregador Privado
  • QuasarRAT
  • RecordBreaker – Ladrão de guaxinins 2.0
  • linha Vermelha
  • Remcos
  • Radamanthys
  • SnakeKeylogger
  • Vidar
  • XWorm

Análise técnica

O DotRunpeX geralmente segue a infecção inicial por meio de carregadores .NET distintos em e-mails de phishing ou sites de utilitários disfarçados. Ele explora o Google Ads e tem como alvo rivais com ferramentas de criação de malware trojanizadas.

Nós recomendamos:  Os melhores suplementos do Microsoft Word para levar sua produtividade ao próximo nível

Os usuários que já procuram o seguinte software popular foram redirecionados por este injetor para sites falsos, clonados e maliciosos que imitam este software explorando o Google Ads:

Além das rotas habituais de infecção, surgiu um caso único de DotRunpeX; um usuário do DotRunpeX teve como alvo vítimas regulares e adversários em potencial usando um construtor Redline trojanizado (Redline_20_2_crack.rar) com DotRunpeX oculto como ‘extra’.

Além disso, uma versão customizada do virtualizador KoiVM protege a nova versão do DotRunpeX e é altamente configurável.

Embora a semelhança mais notável entre os novos e os antigos sejam os arquivos executáveis ​​de 64 bits, eles injetam vários tipos de famílias de malware.

DotRunpeX evita as soluções AV usando “procexp.sys” para fechar os identificadores de processos protegidos. Ele também elimina efetivamente todos os serviços antimalware ativos.

Com a evolução contínua, o injetor DotRunpeX está ganhando recursos de forma constante, atraindo cada vez mais atenção de analistas de segurança e agentes de ameaças.

Documento

Table of Contents