Verblecon Malware

Részletek kerültek napvilágra egy új, erős, Verblecon nevű rosszindulatú programról. A fenyegető törzset először 2022 januárjában észlelték a kutatók. Megállapításaik szerint a jelenleg a Verblecon Malware-t támadási műveletei során használó fenyegetettség a fenyegetés képességeinek csak egy kis részét használja ki. Valójában annak ellenére, hogy képes volt számos invazív művelet végrehajtására a feltört eszközökön, a Verblecon eddig a kripto-bányászat hasznos terheit szállító betöltő szerepébe került.

Műszaki információk

A Verblecon kártevő Java-alapú, és polimorf jellegű. Ez azt jelenti, hogy a fenyegetés rakományának kódja minden letöltéskor másképp néz ki. Az ilyen kifinomult technikákat jellemzően a kiberkémkedésben részt vevő fenyegetés szereplői alkalmazzák. Ezenkívül a fenyegetés kódfolyama, karakterláncai és szimbólumai teljesen el vannak homályosítva, így a Verbelcon rendkívül lopakodó.

A fenyegetés számos ellenőrzést is végez a virtualizációs és a sandbox környezetekben. Lekéri a jelenleg futó folyamatok listáját, és összeegyeztethető a virtuálisgép-rendszerekhez társított fájlok előre meghatározott választékával. Ha minden ellenőrzésen átment, a fenyegetés folytatja a végrehajtást úgy, hogy átmásolja magát egy helyi könyvtárba, például a %ProgramData% , a %LOCALAPPDATA% és a Users könyvtárba.

A Verblecon rendszeres időközönként megpróbál kapcsolatot létesíteni egy Command-and-Control (C2) kiszolgálóval, hogy új rakományt szerezzen és telepítsen. A hasznos terhelést hasonló technikák segítségével homályosítják el, és ellenőrzi a környezetet a virtualizáció jelei szempontjából. A kutatók szerint a rakomány fő feladata egy bináris fájl letöltése és végrehajtása, amely ezt követően a %Windows%\SysWow64\dllhost.exe fájlba kerül .

Mint mondtuk, a Verblecont érintő jelenlegi műveletek nem használják ki a fenyegetés teljes képességét, és többnyire kriptobányászati fenyegetések szállítására korlátozódnak. A jelek szerint a támadók érdeklődnek az áldozatok Discord tokenek megszerzése iránt.