DotRunpeX

DotRunpeX è un malware scoperto di recente che è stato identificato come distributore di più famiglie di malware conosciute. La minaccia è un nuovo tipo di iniettore sviluppato utilizzando la tecnica Process Hollowing e scritto nel linguaggio di programmazione .NET. Il malware è progettato per infettare i sistemi con vari tipi di software dannoso. I dettagli sulla minaccia sono stati rivelati in un rapporto del ricercatore di sicurezza

Si dice che DotRunpeX sia attualmente in fase di sviluppo attivo e in genere arrivi come malware di secondo stadio nella catena dell'infezione. Viene comunemente distribuito tramite un downloader, noto anche come caricatore, che viene trasmesso alle vittime tramite e-mail di phishing contenenti allegati dannosi. Una volta eseguito il caricatore, avvia l'iniezione di DotRunpeX nel sistema, che facilita quindi l'installazione delle famiglie di malware aggiuntive. Gli attori delle minacce possono fare affidamento su DotRunpeX per distribuire i payload della fase successiva dalle famiglie Agent Tesla , Ave Maria , BitRAT, FormBook , RedLine Stealer , LokiBot , XWorm , NetWire , Raccoon Stealer , Remcos , Rhadamanthys e Vidar .

DotRunpeX può sfruttare annunci Google non sicuri

DotRunpeX è un malware noto per utilizzare una varietà di tattiche per infettare i dispositivi degli utenti. Uno dei metodi che DotRunpeX è stato osservato utilizzare è sfruttare annunci Google dannosi nelle pagine dei risultati di ricerca per indurre utenti ignari a fare clic su siti Web imitatori che ospitano programmi di installazione trojan. Questo viene fatto indirizzando gli utenti alla ricerca di software popolari come AnyDesk e LastPass a questi siti Web falsi.

Una recente analisi di DotRunpeX ha rivelato che il malware ha utilizzato un ulteriore livello di offuscamento utilizzando la protezione di virtualizzazione KoiVM negli ultimi artefatti che sono stati individuati per la prima volta nell'ottobre 2022. Inoltre, è stato riscontrato che ogni campione DotRunpeX ha un payload incorporato di un certa famiglia di malware da iniettare. Il malware utilizza un elenco specifico di processi anti-malware da terminare, il che è possibile a causa dell'abuso di un driver di esplorazione dei processi vulnerabile (procexp.sys) incluso in DotRunpeX per ottenere l'esecuzione in modalità kernel.

Assicurati di avere una sicurezza sufficiente contro Infostealer e Trojan

Infostealer e trojan sono due tipi di software dannosi che rappresentano un pericolo significativo per i dispositivi e le informazioni personali degli utenti.

Gli infostealer, come suggerisce il nome, sono progettati per rubare informazioni sensibili come credenziali di accesso, dettagli della carta di credito e altri dati personali. Possono essere utilizzati per monitorare le attività online degli utenti, acquisire sequenze di tasti e rubare dati da browser Web, client di posta elettronica e altre applicazioni. Gli infostealer vengono spesso forniti tramite allegati e-mail, collegamenti dannosi o in bundle con altri software e possono rimanere inosservati per lunghi periodi di tempo, consentendo agli aggressori di raccogliere continuamente dati.

I trojan, d'altra parte, sono un tipo di malware progettato per apparire innocuo o utile, mentre in realtà contiene funzioni dannose nascoste. Possono essere utilizzati per ottenere l'accesso non autorizzato al dispositivo di un utente, rubare dati sensibili o danneggiare file e software. I trojan possono rimanere inosservati sui dispositivi violati per periodi di tempo prolungati fino a quando non vengono attivati.