DotRunpeX
DotRunpeX és un programari maliciós descobert recentment que s'ha identificat com a distribuïdor de diverses famílies de programari maliciós conegudes. L'amenaça és un nou tipus d'injector que s'ha desenvolupat utilitzant la tècnica Process Hollowing i escrit en llenguatge de programació .NET. El programari maliciós està dissenyat per infectar sistemes amb diversos tipus de programari maliciós. Els detalls sobre l'amenaça es van revelar en un informe de l'investigador de seguretat
Es diu que DotRunpeX està actualment en desenvolupament actiu i normalment arriba com a programari maliciós de segona etapa a la cadena d'infecció. Normalment es desplega mitjançant un descarregador, també conegut com a carregador, que es transmet a les víctimes mitjançant correus electrònics de pesca que contenen fitxers adjunts maliciosos. Un cop executat el carregador, inicia la injecció de DotRunpeX al sistema, la qual cosa facilita la instal·lació de les famílies de programari maliciós addicionals. Els actors de l'amenaça poden confiar en DotRunpeX per desplegar càrregues útils de la següent etapa de les famílies Agent Tesla , Ave Maria , BitRAT, FormBook , RedLine Stealer , LokiBot , XWorm , NetWire , Raccoon Stealer , Remcos , Rhadamanthys i Vidar .
DotRunpeX pot aprofitar anuncis de Google no segurs
DotRunpeX és un programari maliciós que se sap que utilitza una varietat de tàctiques per infectar els dispositius dels usuaris. Un dels mètodes que s'ha observat que fa servir DotRunpeX és aprofitar Google Ads maliciosos a les pàgines de resultats de cerca per atraure usuaris desprevinguts perquè facin clic a llocs web imitadors que allotgen instal·ladors troians. Això es fa dirigint els usuaris que cerquen programari popular com AnyDesk i LastPass a aquests llocs web falsos.
Una anàlisi recent de DotRunpeX ha revelat que el programari maliciós ha estat utilitzant una capa addicional d'ofuscament mitjançant l'ús del protector de virtualització KoiVM en els darrers artefactes que es van detectar per primera vegada l'octubre de 2022. A més, s'ha trobat que cada mostra de DotRunpeX tenia una càrrega útil incrustada d'un determinada família de programari maliciós per ser injectada. El programari maliciós utilitza una llista especificada de processos anti-malware per finalitzar, cosa que és possible a causa de l'ús abusiu d'un controlador de l'explorador de processos vulnerable (procexp.sys) que s'inclou a DotRunpeX per obtenir l'execució en mode nucli.
Assegureu-vos de tenir la seguretat suficient contra els robatoris d'informació i els troians
Els infostealers i els troians són dos tipus de programari maliciós que representen perills importants per als dispositius i la informació personal dels usuaris.
Els infostealers, com el seu nom indica, estan dissenyats per robar informació sensible, com ara credencials d'inici de sessió, dades de targeta de crèdit i altres dades personals. Es poden utilitzar per supervisar les activitats en línia dels usuaris, capturar les pulsacions de tecles i robar dades dels navegadors web, clients de correu electrònic i altres aplicacions. Els robatoris d'informació sovint s'entreguen a través d'arxius adjunts de correu electrònic, enllaços maliciosos o s'agrupen amb un altre programari, i poden romandre sense ser detectats durant llargs períodes de temps, cosa que permet als atacants recopilar dades contínuament.
Els troians, en canvi, són un tipus de programari maliciós dissenyat per semblar inofensiu o útil, mentre que en realitat contenen funcions malicioses ocultes. Es poden utilitzar per obtenir accés no autoritzat al dispositiu d'un usuari, robar dades sensibles o danyar fitxers i programari. Els troians poden romandre sense detectar-se als dispositius violats durant períodes de temps prolongats fins que s'activen.
