Новое вредоносное ПО, получившее название «dotRunpeX», используется для распространения множества известных семейств вредоносных программ, таких как Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys и Vidar.
«dotRunpeX — это новый инжектор, написанный на .NET с использованием технологии Process Hollowing. Он используется злоумышленниками для заражения целевых систем различными известными семействами вредоносных программ», — говорится в исчерпывающем отчёте компании CheckPoint, опубликованном 15 марта.
Изученные исследователями образцы dotRunpeX представляют собой зловредное ПО второго этапа, часто развёртываемое через загрузчик, который доставляется на компьютер жертвы через фишинговые электронные письма в виде вредоносных вложений.
Кроме того, известно, что злоумышленники применяют в своей кампании вредоносную реклама Google Ads. Такая реклама перенаправляет ничего не подозревающих пользователей, ищущих популярное программное обеспечение по типу AnyDesk и LastPass, на сайты-подражатели, на которых и размещены троянские установщики.
Анализ CheckPoint показал, что «каждый образец dotRunpeX имеет встроенную полезную нагрузку определенного семейства вредоносных программ», при этом в инжекторе прописан жёсткий список процессов операционной системы, которые автоматически завершаются при активации вредоноса, чтобы избежать обнаружения. А последние образцы dotRunpeX также используют для этих целей средства защиты виртуализации KoiVM.
Специалисты CheckPoint также обнаружили некоторые признаки того, что dotRunpeX может быть связан с русскоязычными хакерами. На это указывает наличие кириллицы в используемых драйверах.
Наиболее часто распространяемые семейства вредоносных программ, доставляемые новой угрозой, включают RedLine, Raccoon, Vidar и Agent Tesla.
Перечень вредоносного ПО, внедряемого через dotRunpeX, по частоте использования
Исследователи CheckPoint прогнозируют дальнейшее развитие dotRunpeX, включающее добавление новых функций, поддержку большего числа вредоносных программ для внедрения в целевую систему, а также улучшенные алгоритмы уклонения от обнаружения.