20 Mart 2023Ravie LakshmananSiber Tehdit / Kötü Amaçlı Yazılım

adlı yeni bir kötü amaçlı yazılım parçası dotRunpeX Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer gibi çok sayıda bilinen kötü amaçlı yazılım ailesini dağıtmak için kullanılıyor. RemcosRhadamanthys ve Vidar.

“DotRunpeX, Process Hollowing tekniği kullanılarak .NET’te yazılmış ve bilinen çeşitli kötü amaçlı yazılım ailelerini sistemlere bulaştırmak için kullanılan yeni bir enjektördür.” söz konusu geçen hafta yayınlanan bir raporda.

Aktif geliştirme aşamasında olduğu söylenen dotRunpeX, genellikle kimlik avı e-postaları aracılığıyla kötü amaçlı ekler olarak iletilen bir indirici (yükleyici olarak da bilinir) aracılığıyla dağıtılan bulaşma zincirinde ikinci aşama bir kötü amaçlı yazılım olarak gelir.

Alternatif olarak, AnyDesk ve LastPass gibi popüler yazılımları arayan şüphelenmeyen kullanıcıları truva atı bulaşmış yükleyicileri barındıran taklit sitelere yönlendirmek için arama sonucu sayfalarında kötü amaçlı Google Reklamlarından yararlandığı bilinmektedir.

İlk olarak Ekim 2022’de tespit edilen en son DotRunpeX yapıları, KoiVM sanallaştırma koruyucusunu kullanarak ekstra bir karartma katmanı ekler.

DotRunpeX Kötü Amaçlı Yazılım

Bulguların, geçen ay SentinelOne tarafından belgelenen, yükleyici ve enjektör bileşenlerinin topluca MalVirt olarak anıldığı bir kötü amaçlı reklam kampanyasıyla örtüştüğünü belirtmekte fayda var.

Check Point’in analizi ayrıca “her dotRunpeX örneğinin, enjekte edilecek belirli bir kötü amaçlı yazılım ailesinin yerleşik bir yüküne sahip olduğunu” ve enjektörün sonlandırılacak kötü amaçlı yazılımdan koruma işlemlerinin bir listesini belirttiğini ortaya çıkardı.

WEBİNAR

Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin

Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.

KOLTUĞUNUZU AYIRTIN

Bu da, bir kişinin suistimal edilmesiyle mümkün olmaktadır. savunmasız süreç gezgini sürücüsü (procexp.sys), çekirdek modu yürütme elde etmek için dotRunpeX’e dahil edilmiştir.

Koddaki dil referanslarına göre dotRunpeX’in Rusça konuşan aktörlerle ilişkilendirilebileceğine dair işaretler var. Ortaya çıkan tehdit tarafından sunulan en sık dağıtılan kötü amaçlı yazılım aileleri arasında RedLine, Raccoon, Vidar, Agent Tesla ve FormBook yer alır.



siber-2