Verblecon-haittaohjelma
Yksityiskohdat uudesta tehokkaasta Verblecon-nimisestä haittaohjelmasta on tuotu julkisuuteen. Tutkijat havaitsivat uhkaavan kannan ensimmäisen kerran jo tammikuussa 2022. Havaintonsa mukaan tällä hetkellä Verblecon-haittaohjelmaa osana hyökkäystoimintojaan käyttävä uhkatoimija käyttää vain pientä osaa uhan kyvyistä. Huolimatta siitä, että Verblecon kykeni suorittamaan lukuisia invasiivisia toimintoja rikotuissa laitteissa, Verblecon on toistaiseksi siirretty lataajan rooliin, joka toimittaa kryptolouhinnan hyötykuormia.
Tekniset yksityiskohdat
Verblecon-haittaohjelma on Java-pohjainen ja luonteeltaan polymorfinen. Tämä tarkoittaa, että uhan hyötykuorman koodi näyttää erilaiselta joka kerta, kun se ladataan. Tällaisia kehittyneitä tekniikoita käyttävät tyypillisesti kybervakoiluun osallistuvat uhkatoimijat. Lisäksi koodinkulku, merkkijonot ja uhan symbolit ovat kaikki täysin hämäriä, mikä tekee Verbelconista erittäin vaivalloisen.
Uhka suorittaa myös useita tarkastuksia virtualisointi- ja hiekkalaatikkoympäristöille. Se hakee luettelon parhaillaan käynnissä olevista prosesseista ja vastaa ennalta määritettyyn valikoimaan tiedostoja, joiden tiedetään liittyvän virtuaalikoneen järjestelmiin. Jos kaikki tarkistukset läpäisevät, uhka jatkaa suorittamistaan kopioimalla itsensä paikalliseen hakemistoon, kuten %ProgramData% , %LOCALAPPDATA% ja Users .
Verblecon yrittää muodostaa yhteyden Command-and-Control (C2) -palvelimeen ajoittain hankkiakseen ja ottaakseen käyttöön uuden hyötykuorman. Hyötykuorma hämärtyy vastaavilla tekniikoilla ja myös tarkistaa ympäristön virtualisoinnin merkkejä. Tutkijoiden mukaan hyötykuorman päätehtävä on ladata ja suorittaa binääritiedosto, joka ruiskutetaan myöhemmin tiedostoon %Windows%\SysWow64\dllhost.exe .
Kuten sanoimme, Verbleconin nykyiset toiminnot eivät hyödynnä uhan kaikkia ominaisuuksia ja rajoittuvat lähinnä krypto-louhintauhkien toimittamiseen. On myös merkkejä siitä, että hyökkääjät ovat kiinnostuneita saamaan uhrien Discord-tokeneita.
