新的DotRunpeX恶意软件通过恶意广告传播多种恶意软件

一种名为dotRunpeX的新恶意软件正在用于分发许多已知的恶意软件系列，例如Agent Tesla、Ave Maria、BitRAT、FormBook、LokiBot、NetWire、Raccoon Stealer、RedLine Stealer、Remcos、Rhadamanthys和Vidar。

Check Point在上周发布的一份报告中说：“DotRunpeX是一种使用Process Hollowing技术在.NET 中编写的新型注入器，用于感染具有各种已知恶意软件系列的系统。”

据说正在积极开发中，dotRunpeX作为感染链中的第二阶段恶意软件出现，通常通过下载器（又名加载器）部署，该下载器通过网络钓鱼电子邮件作为恶意附件进行传输。

或者，众所周知，利用搜索结果页面上的恶意Google Ads将搜索AnyDesk和LastPass等流行软件的毫无戒心的用户引导至托管木马化安装程序的山寨网站。

最新的DotRunpeX负载于2022年10月首次被发现，它使用KoiVM虚拟化保护器添加了一个额外的混淆层。

值得指出的是，这些发现与SentinelOne上个月记录的恶意广告活动相吻合，其中加载器和注入器组件统称为MalVirt。

Check Point的分析进一步表明，“每个dotRunpeX样本都有一个要注入的特定恶意软件家族的嵌入式有效负载”，注入器指定要终止的反恶意软件进程列表。

这反过来又可以通过滥用一个易受攻击的进程资源管理器驱动程序(procexp.sys) 来实现，该驱动程序已合并到dotRunpeX中以获得内核模式执行。

根据代码中的语言参考，有迹象表明dotRunpeX可能与讲俄语的攻击者有关。新兴威胁传播最频繁的恶意软件系列包括RedLine、Raccoon、Vidar、Agent Tesla和FormBook。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5202.html