Verblecon Malware
Sono stati portati alla luce dettagli su un nuovo potente malware chiamato Verblecon. Il ceppo minaccioso è stato rilevato per la prima volta dai ricercatori nel gennaio 2022. Secondo i loro risultati, l'attore della minaccia che attualmente utilizza Verblecon Malware come parte delle proprie operazioni di attacco, utilizza solo una piccola parte delle capacità della minaccia. Infatti, nonostante avesse la capacità di eseguire numerose azioni invasive sui dispositivi violati, finora Verblecon è stato relegato al ruolo di caricatore che fornisce payload di cripto-mining.
Dettagli tecnici
Il malware Verblecon è basato su Java e ha natura polimorfica. Ciò significa che il codice del carico utile della minaccia ha un aspetto diverso ogni volta che viene scaricato. Tali tecniche sofisticate sono in genere impiegate dagli attori delle minacce coinvolti nello spionaggio informatico. Inoltre, il flusso del codice, le stringhe e i simboli della minaccia sono tutti completamente offuscati, rendendo Verbelcon estremamente furtivo.
La minaccia esegue anche diversi controlli per la virtualizzazione e gli ambienti sandbox. Recupera un elenco dei processi attualmente in esecuzione e confronta una selezione predeterminata di file noti per essere associati a sistemi di macchine virtuali. Se tutti i controlli vengono superati, la minaccia continuerà con la sua esecuzione copiandosi in una directory locale come %ProgramData% , %LOCALAPPDATA% e Users .
Verblecon tenterà di stabilire periodicamente un contatto con un server Command-and-Control (C2) per ottenere e distribuire un nuovo carico utile. Il carico utile viene offuscato utilizzando tecniche simili e verifica anche la presenza di segni di virtualizzazione nell'ambiente. Secondo i ricercatori, il compito principale del payload è scaricare ed eseguire un file binario, che verrà successivamente iniettato in %Windows%\SysWow64\dllhost.exe .
Come abbiamo detto, le attuali operazioni che coinvolgono Verblecon non sfruttano tutte le capacità della minaccia e si limitano a fornire principalmente minacce di mining di criptovalute. Ci sono anche segnali che indicano che gli aggressori sono interessati a ottenere i token Discord delle vittime.
