Malware Verblecon

Podrobnosti o novém silném malwaru s názvem Verblecon byly zveřejněny. Hrozivý kmen byl poprvé detekován výzkumníky v lednu 2022. Podle jejich zjištění aktér hrozby, který v současnosti používá Verblecon Malware jako součást svých útočných operací, využívá pouze malou část schopností hrozby. Přestože měl Verblecon kapacitu k provádění četných invazivních akcí na narušených zařízeních, byl zatím odkázán do role nakladače, který poskytuje užitečné zatížení pro těžbu kryptoměn.

Technické údaje

Malware Verblecon je založen na Javě a má polymorfní povahu. To znamená, že kód užitečného obsahu hrozby vypadá při každém stažení jinak. Tyto sofistikované techniky obvykle používají aktéři hrozeb zapojení do kybernetické špionáže. Kromě toho jsou tok kódu, řetězce a symboly hrozby plně zatemněny, takže Verbelcon je extrémně tajný.

Hrozba také provádí několik kontrol virtualizace a prostředí sandbox. Získává seznam aktuálně běžících procesů a shoduje se s předem určeným výběrem souborů, o nichž je známo, že jsou spojeny se systémy virtuálních strojů. Pokud projdou všechny kontroly, hrozba bude pokračovat ve svém provádění zkopírováním do místního adresáře, jako je %ProgramData% , %LOCALAPPDATA% a Users .

Verblecon se bude pravidelně pokoušet navázat kontakt se serverem Command-and-Control (C2), aby získal a nasadil nové užitečné zatížení. Užitná zátěž je zatemněna pomocí podobných technik a také kontroluje prostředí, zda nevykazuje známky virtualizace. Podle výzkumníků je hlavním úkolem užitečného zatížení stáhnout a spustit binární soubor, který bude následně vložen do %Windows%\SysWow64\dllhost.exe .

Jak jsme řekli, současné operace zahrnující Verblecon nevyužívají plné schopnosti hrozby a omezují se na poskytování převážně krypto-těžebních hrozeb. Existují také známky toho, že útočníci mají zájem získat tokeny Discord obětí.