Verblecon Malware

Detaljer om en ny kraftfuld malware ved navn Verblecon er blevet bragt frem i lyset. Den truende stamme blev først opdaget af forskere tilbage i januar 2022. Ifølge deres resultater udnytter trusselsaktøren i øjeblikket Verblecon Malware som en del af deres angrebsoperationer, kun en lille del af truslens muligheder. Faktisk, på trods af at have kapaciteten til at udføre adskillige invasive handlinger på de brudte enheder, var Verblecon indtil videre henvist til rollen som en loader, der leverer crypto-mining-nyttelast.

Tekniske detaljer

Verblecon-malwaren er Java-baseret og har polymorf karakter. Det betyder, at koden for truslens nyttelast ser anderledes ud, hver gang den downloades. Sådanne sofistikerede teknikker anvendes typisk af trusselsaktører involveret i cyberspionage. Desuden er kodestrømmen, strengene og symbolerne for truslen alle fuldstændig tilsløret, hvilket gør Verbelcon ekstremt snigende.

Truslen udfører også flere kontroller for virtualiserings- og sandkassemiljøer. Den henter en liste over de aktuelt kørende processer og matcher mod et forudbestemt udvalg af filer, der vides at være forbundet med virtuelle maskinsystemer. Hvis alle kontroller er bestået, vil truslen fortsætte med sin eksekvering ved at kopiere sig selv til en lokal mappe såsom %ProgramData% , %LOCALAPPDATA% og Users .

Verblecon vil forsøge at etablere kontakt med en Command-and-Control (C2) server med jævne mellemrum for at opnå og implementere en ny nyttelast. Nyttelasten sløres ved hjælp af lignende teknikker og tjekker også miljøet for tegn på virtualisering. Ifølge forskerne er hovedopgaven for nyttelasten at downloade og eksekvere en binær fil, som efterfølgende vil blive injiceret i %Windows%\SysWow64\dllhost.exe .

Som vi sagde, udnytter de nuværende operationer, der involverer Verblecon, ikke truslens fulde muligheder og er begrænset til at levere for det meste krypto-mining-trusler. Der er også tegn på, at angriberne er interesserede i at skaffe ofrenes Discord-tokens.