Un nuovo malware denominato dotRunpeX è stato usato per distribuire numerose famiglie di malware note come Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys, e Vidar.
Come lavora il malware DotRunpeX?
“DotRunpeX è un nuovo iniettore scritto in .NET utilizzando la tecnica Process Hollowing e utilizzato per infettare i sistemi con una varietà di famiglie di malware note“, ha affermato Check Point in un rapporto pubblicato la scorsa settimana.
Dato che a quanto pare è in fase di sviluppo attivo, dotRunpeX arriva come malware di seconda fase nella serie di infezioni, spesso distribuito tramite un downloader (noto anche come “loader”) che viene trasmesso tramite e-mail di phishing come allegati dannosi (un classico, insomma).
In alternativa, è noto che sfrutta gli annunci Google dannosi nelle pagine dei risultati di ricerca per indirizzare gli utenti ignari alla ricerca di software popolari come AnyDesk e LastPass verso siti imitatori che ospitano programmi di installazione trojan.
Gli ultimi danni di questo tipo di malware, individuati per la prima volta nell’ottobre 2022, aggiungono un ulteriore livello di offuscamento utilizzando la protezione di virtualizzazione KoiVM.
Vale la pena dire che i risultati coincidono con una campagna di malvertising documentata da SentinelOne il mese scorso in cui i componenti del caricatore e dell’iniettore sono stati indicati collettivamente come MalVirt.
L’analisi di Check Point ha inoltre rivelato che “ogni campione dotRunpeX ha un payload incorporato di una determinata famiglia di malware da iniettare“, con l’injection che specifica un elenco di processi anti-malware da terminare.
Ciò, a sua volta, è reso possibile dall’abuso di un driver di esplorazione dei processi vulnerabile (procexp.sys) incorporato in dotRunpeX in modo da ottenere l’esecuzione in modalità kernel.
Ci sono dei segni i quali mostrano che dotRunpeX potrebbe essere affiliato a malintenzionati russi in base ai riferimenti linguistici nel codice; le famiglie di malware distribuite più frequentemente dalla minaccia emergente includono RedLine, Raccoon, Vidar, Agent Tesla e FormBook.
In definitiva
È importante prestare attenzione mentre si naviga e in caso utilizzare un buon adblocker (bloccante delle pubblicità), sui propri browser.
In caso il danno sia fatto un buon antivirus o antimalware.