Novo malware DotRunpeX entrega múltiplas famílias de malware por meio de anúncios maliciosos
21 de Março de 2023

Um novo malware chamado dotRunpeX está sendo usado para distribuir várias famílias de malware conhecidas, como Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys e Vidar.

"DotRunpeX é um novo injetor escrito em .NET usando a técnica de Process Hollowing e usado para infectar sistemas com uma variedade de famílias de malware conhecidas", disse a Check Point em um relatório publicado na semana passada.

Dito estar em desenvolvimento ativo, o dotRunpeX chega como um malware de segunda etapa na cadeia de infecção, muitas vezes implantado por meio de um downloader (também conhecido como loader) que é transmitido por e-mails de phishing como anexos maliciosos.

Alternativamente, é conhecido por usar anúncios maliciosos do Google em páginas de resultados de pesquisa para direcionar usuários desavisados que procuram software popular, como AnyDesk e LastPass, para sites falsos que hospedam instaladores trojanizados.

Os mais recentes artefatos do DotRunpeX, primeiro detectados em outubro de 2022, adicionam uma camada extra de ofuscação usando o protetor virtual KoiVM.

Vale ressaltar que as descobertas se correlacionam com uma campanha de malvertising documentada pela SentinelOne no mês passado, na qual os componentes loader e injector foram coletivamente referidos como MalVirt.

A análise da Check Point também revelou que "cada amostra dotRunpeX possui um payload embutido de uma determinada família de malware a ser injetada", com o injetor especificando uma lista de processos anti-malware a serem encerrados.

Isso, por sua vez, é possível através do abuso de um driver de explorador de processo vulnerável (procexp.sys) que está incorporado ao dotRunpeX para obter a execução em modo kernel.

Há indícios de que o dotRunpeX possa estar afiliado a atores de língua russa com base nas referências de idioma no código.

As famílias de malware mais frequentemente entregues pela ameaça emergente incluem RedLine, Raccoon, Vidar, Agent Tesla e FormBook.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...