Novo malware dotRunpeX está sendo usado para distribuir várias famílias de malware conhecidas

novo-malware-dotrunpex-esta-sendo-usado-para-distribuir-varias-familias-de-malware-conhecidas
Imagem: Reprodução | The Hacker News

Agentes de ameaças estão usando um novo malware chamado dotRunpeX para distribuir várias famílias de malware conhecidas, como Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys e Vidar. De acordo com um relatório da Check Point, o DotRunpeX é um novo injetor escrito em .NET usando a técnica Process Hollowing e usado para infectar sistemas com os malwares citados.

Malware dotRunpeX distribui famílias de malwares conhecidos

De acordo com as informações, o malware está em desenvolvimento ativo. E, o dotRunpeX chega como um malware de segundo estágio na cadeia de infecção, geralmente implantado por meio de um downloader que é transmitido por e-mails de phishing como anexos maliciosos.

Esse malware é conhecido por alavancar anúncios maliciosos do Google em páginas de resultados de pesquisa para direcionar usuários desavisados ??que procuram software popular, como AnyDesk e LastPass, para sites imitadores que hospedam instaladores trojanizados.

Os artefatos DotRunpeX mais recentes, detectados pela primeira vez em outubro de 2022, adicionam uma camada extra de ofuscação usando o protetor de virtualização KoiVM. No entanto, vale ressaltar que as descobertas se encaixam com uma campanha de publicidade maliciosa documentada pelo SentinelOne no mês passado, na qual o carregador e os componentes do injetor foram referidos coletivamente como MalVirt.

novo-malware-dotrunpex-esta-sendo-usado-para-distribuir-varias-familias-de-malware-conhecidas
Imagem: Reprodução | The Hacker News

Análise da Check Point

A análise da Check Point revelou ainda que “cada amostra dotRunpeX possui uma carga incorporada de uma determinada família de malware a ser injetada”, com o injetor especificando uma lista de processos antimalware a serem encerrados. Isso, por sua vez, é possível pelo abuso de um driver explorador de processo vulnerável (procexp.sys) que está incorporado ao dotRunpeX para obter a execução no modo kernel.

Há sinais de que o dotRunpeX pode ser afiliado a atores que falam russo com base nas referências de idioma no código, aponta o relatório. As famílias de malware entregues com mais frequência pela ameaça emergente incluem RedLine, Raccoon, Vidar, Agent Tesla e FormBook.

Os cibercriminosos estão constantemente em evolução, no sentido de conseguirem êxito em seus golpes. A entrega de várias famílias de malwares usando um único malware é uma amostra disso. O dotRunpeX é uma grande nova ameaça e pode abrir portas para ainda mais famílias de malwares, o que torna a segurança ainda mais importante.

Indivíduos e empresas precisam continuar a implementar mais mecanismos de segurança, para que não sejam atingidos por esse tipo de ameaça.