22.03.2023 | Новый вредонос dotRunpeX способен доставлять обширный список зловредного ПО на целевые компьютеры |
Новое вредоносное ПО, получившее название «dotRunpeX», используется для распространения множества известных семейств вредоносных программ, таких как Agent Tesla , Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys и Vidar. «dotRunpeX — это новый инжектор, написанный на .NET с использованием технологии Process Hollowing . Он используется злоумышленниками для заражения целевых систем различными известными семействами вредоносных программ», — говорится в исчерпывающем отчёте компании CheckPoint , опубликованном 15 марта. Изученные исследователями образцы dotRunpeX представляют собой зловредное ПО второго этапа, часто развёртываемое через загрузчик, который доставляется на компьютер жертвы через фишинговые электронные письма в виде вредоносных вложений. Кроме того, известно, что злоумышленники применяют в своей кампании вредоносную реклама Google Ads. Такая реклама перенаправляет ничего не подозревающих пользователей, ищущих популярное программное обеспечение по типу AnyDesk и LastPass, на сайты-подражатели, на которых и размещены троянские установщики. Анализ CheckPoint показал, что «каждый образец dotRunpeX имеет встроенную полезную нагрузку определенного семейства вредоносных программ», при этом в инжекторе прописан жёсткий список процессов операционной системы, которые автоматически завершаются при активации вредоноса, чтобы избежать обнаружения. А последние образцы dotRunpeX также используют для этих целей средства защиты виртуализации KoiVM. Специалисты CheckPoint также обнаружили некоторые признаки того, что dotRunpeX может быть связан с русскоязычными хакерами. На это указывает наличие кириллицы в используемых драйверах. Наиболее часто распространяемые семейства вредоносных программ, доставляемые новой угрозой, включают RedLine, Raccoon, Vidar и Agent Tesla.
Перечень вредоносного ПО, внедряемого через dotRunpeX, по частоте использования Исследователи CheckPoint прогнозируют дальнейшее развитие dotRunpeX, включающее добавление новых функций, поддержку большего числа вредоносных программ для внедрения в целевую систему, а также улучшенные алгоритмы уклонения от обнаружения. |
Проверить безопасность сайта