Новый вредонос dotRunpeX способен доставлять обширный список зловредного ПО на целевые компьютеры

• 21 марта, 2023
• 17:30

Новое вредоносное ПО, получившее название «dotRunpeX», используется для распространения множества известных семейств вредоносных программ, таких как Agent Tesla — это шпионское ПО, способное похищать личные данные из веб-браузеров, почтовых клиентов и FTP-серверов. Зловред также может собирать скриншоты, видео и захватывать данные из буфера обмена. Последние версии этой вредоносной программы также способны красть личные данные у VPN-клиентов.

» data-html=»true» data-original-title=»Agent Tesla»>Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys и Vidar.

«dotRunpeX — это новый инжектор, написанный на .NET (произносится «дотнет») — это программная платформа, разработанная компанией Microsoft. Она предоставляет инструменты для создания и выполнения приложений на разных языках программирования, таких как C#, Visual Basic и F#.
Платформа включает в себя несколько основных компонентов, включая среду исполнения .NET, библиотеки классов .NET и компиляторы языков программирования.
.NET используется для создания разнообразных приложений, включая десктопные, веб- и мобильные приложения, а также игры и службы веб-серверов.

‘ data-html=»true» data-original-title=».NET»>.NET с использованием технологии Process Hollowing (подмена, опустошение процесса) — создание процесса в состоянии ожидания с последующей удаления его из память и замены образа процесса образом, который нужно скрыть.

» data-html=»true» data-original-title=»Process Hollowing»>Process Hollowing. Он используется злоумышленниками для заражения целевых систем различными известными семействами вредоносных программ», — говорится в исчерпывающем отчёте компании Check Point Software Technologies Ltd. – это компания, специализирующаяся на разработке и поставке продуктов и решений в области кибербезопасности для защиты компьютерных сетей, серверов и мобильных устройств от различных видов киберугроз. Она является одним из лидеров в отрасли кибербезопасности.
Компания предлагает решения для защиты от различных угроз, таких как вредоносные программы, хакерские атаки, кибершпионаж, атаки на приложения и многое другое.

» data-html=»true» data-original-title=»CheckPoint»>CheckPoint, опубликованном 15 марта.

Изученные исследователями образцы dotRunpeX представляют собой зловредное ПО второго этапа, часто развёртываемое через загрузчик, который доставляется на компьютер жертвы через фишинговые электронные письма в виде вредоносных вложений.

Кроме того, известно, что злоумышленники применяют в своей кампании вредоносную реклама Google Ads. Такая реклама перенаправляет ничего не подозревающих пользователей, ищущих популярное программное обеспечение по типу AnyDesk и LastPass, на сайты-подражатели, на которых и размещены троянские установщики.

Анализ CheckPoint показал, что «каждый образец dotRunpeX имеет встроенную полезную нагрузку определенного семейства вредоносных программ», при этом в инжекторе прописан жёсткий список процессов операционной системы, которые автоматически завершаются при активации вредоноса, чтобы избежать обнаружения. А последние образцы dotRunpeX также используют для этих целей средства защиты виртуализации KoiVM.

Специалисты CheckPoint также обнаружили некоторые признаки того, что dotRunpeX может быть связан с русскоязычными хакерами. На это указывает наличие кириллицы в используемых драйверах.

Наиболее часто распространяемые семейства вредоносных программ, доставляемые новой угрозой, включают RedLine, Raccoon, Vidar и Agent Tesla.

Перечень вредоносного ПО, внедряемого через dotRunpeX, по частоте использования

Исследователи CheckPoint прогнозируют дальнейшее развитие dotRunpeX, включающее добавление новых функций, поддержку большего числа вредоносных программ для внедрения в целевую систему, а также улучшенные алгоритмы уклонения от обнаружения.