Um novo malware chamado dotRunpeX está sendo usado para distribuir várias famílias de malware conhecidas, como Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys e Vidar.
"DotRunpeX é um novo injetor escrito em .NET usando a técnica de Process Hollowing e usado para infectar sistemas com uma variedade de famílias de malware conhecidas", disse a Check Point em um relatório publicado na semana passada.
Dito estar em desenvolvimento ativo, o dotRunpeX chega como um malware de segunda etapa na cadeia de infecção, muitas vezes implantado por meio de um downloader (também conhecido como loader) que é transmitido por e-mails de phishing como anexos maliciosos.
Alternativamente, é conhecido por usar anúncios maliciosos do Google em páginas de resultados de pesquisa para direcionar usuários desavisados que procuram software popular, como AnyDesk e LastPass, para sites falsos que hospedam instaladores trojanizados.
Os mais recentes artefatos do DotRunpeX, primeiro detectados em outubro de 2022, adicionam uma camada extra de ofuscação usando o protetor virtual KoiVM.
Vale ressaltar que as descobertas se correlacionam com uma campanha de malvertising documentada pela SentinelOne no mês passado, na qual os componentes loader e injector foram coletivamente referidos como MalVirt.
A análise da Check Point também revelou que "cada amostra dotRunpeX possui um payload embutido de uma determinada família de malware a ser injetada", com o injetor especificando uma lista de processos anti-malware a serem encerrados.
Isso, por sua vez, é possível através do abuso de um driver de explorador de processo vulnerável (procexp.sys) que está incorporado ao dotRunpeX para obter a execução em modo kernel.
Há indícios de que o dotRunpeX possa estar afiliado a atores de língua russa com base nas referências de idioma no código.
As famílias de malware mais frequentemente entregues pela ameaça emergente incluem RedLine, Raccoon, Vidar, Agent Tesla e FormBook.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...