Продвинутый инжектор, предположительно, имеет «русские корни».

Новое вредоносное ПО, получившее название «dotRunpeX», используется для распространения множества известных семейств вредоносных программ, таких как Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys и Vidar.

«dotRunpeX — это новый инжектор, написанный на .NET с использованием технологии Process Hollowing. Он используется злоумышленниками для заражения целевых систем различными известными семействами вредоносных программ», — говорится в исчерпывающем отчёте компании CheckPoint, опубликованном 15 марта.

Изученные исследователями образцы dotRunpeX представляют собой зловредное ПО второго этапа, часто развёртываемое через загрузчик, который доставляется на компьютер жертвы через фишинговые электронные письма в виде вредоносных вложений.

Кроме того, известно, что злоумышленники применяют в своей кампании вредоносную реклама Google Ads. Такая реклама перенаправляет ничего не подозревающих пользователей, ищущих популярное программное обеспечение по типу AnyDesk и LastPass, на сайты-подражатели, на которых и размещены троянские установщики.

Анализ Check Point показал, что «каждый образец dotRunpeX имеет встроенную полезную нагрузку определенного семейства вредоносных программ», при этом в инжекторе прописан жёсткий список процессов операционной системы, которые автоматически завершаются при активации вредоноса, чтобы избежать обнаружения. А последние образцы dotRunpeX также используют для этих целей средства защиты виртуализации KoiVM.

Специалисты CheckPoint также обнаружили некоторые признаки того, что dotRunpeX может быть связан с русскоязычными хакерами. На это указывает наличие кириллицы в используемых драйверах.

Наиболее часто распространяемые семейства вредоносных программ, доставляемые новой угрозой, включают RedLine, Raccoon, Vidar и Agent Tesla.

Перечень вредоносного ПО, внедряемого через dotRunpeX, по частоте использования

Исследователи CheckPoint прогнозируют дальнейшее развитие dotRunpeX, включающее добавление новых функций, поддержку большего числа вредоносных программ для внедрения в целевую систему, а также улучшенные алгоритмы уклонения от обнаружения.

Источник: securitylab