תוכנת זדונית של Verblecon

פרטים על תוכנה זדונית חזקה חדשה בשם Verblecon הובאו לאור. הזן המאיים זוהה לראשונה על ידי חוקרים עוד בינואר 2022. על פי ממצאיהם, שחקן האיום המשתמש כיום בתוכנת Verblecon Malware כחלק מפעולות ההתקפה שלהם, מנצל רק חלק קטן מיכולות האיום. ואכן, למרות היכולת לבצע מספר רב של פעולות פולשניות במכשירים שנפרצו, עד כה נדחקה Verblecon לתפקיד של מטעין המספק מטענים של כריית קריפטו.

פרטים טכניים

התוכנה הזדונית של Verblecon היא מבוססת Java ובעלת אופי פולימורפי. המשמעות היא שהקוד של מטען האיום נראה שונה בכל פעם שהוא מוריד. טכניקות מתוחכמות כאלה מופעלות בדרך כלל על ידי גורמי איומים המעורבים בריגול סייבר. יתר על כן, זרימת הקוד, המיתרים והסמלים של האיום כולם מעורפלים לחלוטין, מה שהופך את Verbelcon לחשקאי ביותר.

האיום גם מבצע מספר בדיקות עבור סביבות וירטואליזציה וארגז חול. הוא מביא רשימה של התהליכים הפועלים כעת ומתאים לבחירה קבועה מראש של קבצים הידועים כמשוייכים למערכות מכונות וירטואליות. אם כל הבדיקות יעברו, האיום ימשיך בביצועו על ידי העתקת עצמו לספרייה מקומית כגון %ProgramData% , %LOCALAPPDATA% ומשתמשים .

Verblecon ינסה ליצור קשר עם שרת Command-and-Control (C2) מעת לעת כדי להשיג ולפרוס מטען חדש. המטען מעורפל באמצעות טכניקות דומות וגם בודק את הסביבה עבור סימני וירטואליזציה. לדברי החוקרים, המשימה העיקרית של המטען היא להוריד ולהפעיל קובץ בינארי, שיוזרק לאחר מכן ל- %Windows%\SysWow64\dllhost.exe .

כפי שאמרנו, הפעולות הנוכחיות הכוללות את Verblecon אינן מנצלות את מלוא היכולות של האיום והן מוגבלות לאספקת בעיקר איומי כריית קריפטו. ישנם גם סימנים לכך שהתוקפים מעוניינים להשיג אסימוני דיסקורד של קורבנות.