البرامج الضارة Verblecon

تم الكشف عن تفاصيل حول برنامج ضار قوي جديد يسمى Verblecon. تم اكتشاف السلالة المهددة لأول مرة من قبل الباحثين في يناير 2022. وفقًا لنتائجهم ، فإن الفاعل الذي يستخدم حاليًا Verblecon Malware كجزء من عملياته الهجومية ، لا يستخدم سوى جزء صغير من قدرات التهديد. في الواقع ، على الرغم من امتلاكها القدرة على تنفيذ العديد من الإجراءات الغازية على الأجهزة المخترقة ، فقد تم حتى الآن تحويل Verblecon إلى دور اللودر الذي يوفر حمولات التعدين المشفرة.

تفاصيل تقنية

تستند برامج Verblecon الضارة إلى Java ولها طبيعة متعددة الأشكال. هذا يعني أن رمز حمولة التهديد تبدو مختلفة في كل مرة يتم تنزيلها. عادةً ما يتم استخدام هذه التقنيات المتطورة من قبل الجهات الفاعلة في التهديد المتورطة في التجسس الإلكتروني. علاوة على ذلك ، فإن تدفق الشفرة والسلاسل والرموز الخاصة بالتهديد كلها غامضة تمامًا ، مما يجعل Verbelcon متخفيًا للغاية.

يقوم التهديد أيضًا بإجراء العديد من عمليات التحقق من بيئات المحاكاة الافتراضية وبيئة الحماية. إنه يجلب قائمة بالعمليات الجارية حاليًا والمطابقات مقابل مجموعة محددة مسبقًا من الملفات المعروفة بأنها مرتبطة بأنظمة الآلة الافتراضية. إذا تم اجتياز جميع عمليات التحقق ، فسيستمر التهديد في تنفيذه عن طريق نسخ نفسه إلى دليل محلي مثل ٪ ProgramData٪ و ٪ LOCALAPPDATA٪ و Users .

سيحاول Verblecon إنشاء اتصال بخادم الأوامر والتحكم (C2) بشكل دوري للحصول على حمولة جديدة ونشرها. يتم إخفاء الحمولة النافعة باستخدام تقنيات مماثلة ويفحص البيئة أيضًا بحثًا عن علامات المحاكاة الافتراضية. وفقًا للباحثين ، فإن المهمة الرئيسية للحمولة هي تنزيل ملف ثنائي وتنفيذه ، والذي سيتم حقنه لاحقًا في ٪ Windows٪ \ SysWow64 \ dllhost.exe .

كما قلنا ، لا تستغل العمليات الحالية التي تنطوي عليها شركة Verblecon الإمكانات الكاملة للتهديد وتقتصر على تقديم تهديدات التنقيب عن العملات المشفرة في الغالب. هناك أيضًا دلائل على أن المهاجمين مهتمون بالحصول على رموز الخلاف الخاصة بالضحايا.