Eine neue Malware namens „dotRunpeX“ wird zur Verbreitung zahlreicher bekannter Malware-Familien wie „Agent Tesla“, „Ave Maria“, „BitRAT“, „FormBook“, „LokiBot“, „NetWire“, „Raccoon Stealer“, „RedLine Stealer“, „Remcos“, „Rhadamanthys“ und „Vidar“ verwendet.
„DotRunpeX ist ein neuer Injektor, der in .NET unter Verwendung der Process Hollowing-Technik geschrieben wurde und verwendet wird, um Systeme mit einer Vielzahl bekannter Malware-Familien zu infizieren“, sagte Check Point in einem Bericht, der letzte Woche veröffentlicht wurde.
dotRunpeX befindet sich angeblich in aktiver Entwicklung und tritt als Malware der zweiten Stufe in der Infektionskette auf, die häufig über einen Downloader (auch bekannt als Loader) bereitgestellt wird, der als bösartiger Anhang über Phishing-E-Mails übertragen wird.
Alternativ ist bekannt, dass es bösartige Google-Anzeigen auf Suchergebnisseiten nutzt, um ahnungslose Benutzer, die nach beliebter Software wie AnyDesk und LastPass suchen, auf Nachahmerseiten zu leiten, auf denen trojanisierte Installationsprogramme gehostet werden.
Die neuesten DotRunpeX-Artefakte, die erstmals im Oktober 2022 entdeckt wurden, fügen eine zusätzliche Verschleierungsschicht hinzu, indem sie den KoiVM-Virtualisierungsschutz verwenden.
Es sei darauf hingewiesen, dass die Ergebnisse mit einer von SentinelOne im letzten Monat dokumentierten Malvertising-Kampagne übereinstimmen, in der der Loader und die Injector-Komponenten gemeinsam als MalVirt bezeichnet wurden.
Die Analyse von Check Point hat außerdem ergeben, dass „jedes dotRunpeX-Sample eine eingebettete Nutzlast einer bestimmten Malware-Familie enthält, die injiziert werden muss“, wobei der Injektor eine Liste von zu beendenden Anti-Malware-Prozessen angibt.
Dies wird wiederum durch den Missbrauch eines anfälligen Prozess-Explorer-Treibers (procexp.sys) ermöglicht, der in dotRunpeX integriert ist, um die Ausführung im Kernelmodus zu erreichen.
Es gibt Anzeichen dafür, dass dotRunpeX aufgrund der Sprachreferenzen im Code mit russischsprachigen Akteuren verbunden sein könnte. Zu den am häufigsten ausgelieferten Malware-Familien gehören RedLine, Raccoon, Vidar, Agent Tesla und FormBook.
Quelle: TheHackerNews, Ravie Lakshmanan
