DotRunpeX

DotRunpeX는 여러 알려진 맬웨어 계열의 배포자로 확인된 최근에 발견된 맬웨어입니다. 위협은 Process Hollowing 기술을 사용하여 개발되고 .NET 프로그래밍 언어로 작성된 새로운 유형의 인젝터입니다. 이 악성코드는 다양한 유형의 악성 소프트웨어로 시스템을 감염시키도록 설계되었습니다. 위협에 대한 자세한 내용은 보안 연구원의 보고서에서 밝혀졌습니다.

DotRunpeX는 현재 활발히 개발 중이며 일반적으로 감염 체인의 2단계 악성코드로 도착합니다. 일반적으로 악성 첨부 파일이 포함된 피싱 이메일을 통해 피해자에게 전송되는 로더라고도 하는 다운로더를 통해 배포됩니다. 로더가 실행되면 시스템에 DotRunpeX 주입을 시작하여 추가 맬웨어 제품군을 쉽게 설치할 수 있습니다. 공격자는 DotRunpeX를 사용하여 Agent Tesla , Ave Maria , BitRAT, FormBook , RedLine Stealer , LokiBot , XWorm , NetWire , Raccoon Stealer , Remcos , Rhadamanthys 및 Vidar 제품군의 다음 단계 페이로드를 배포할 수 있습니다.

DotRunpeX는 안전하지 않은 Google 광고를 활용할 수 있습니다.

DotRunpeX는 사용자의 장치를 감염시키기 위해 다양한 전술을 사용하는 것으로 알려진 악성코드입니다. DotRunpeX가 사용하는 것으로 관찰된 방법 중 하나는 의심하지 않는 사용자가 트로이 목마 설치 프로그램을 호스팅하는 모방 웹사이트를 클릭하도록 유인하기 위해 검색 결과 페이지에서 악성 Google Ads를 활용하는 것입니다. 이는 AnyDesk 및 LastPass와 같은 인기 있는 소프트웨어를 검색하는 사용자를 이러한 가짜 웹사이트로 안내함으로써 이루어집니다.

DotRunpeX에 대한 최근 분석에 따르면 악성코드는 2022년 10월에 처음 발견된 최신 아티팩트에서 KoiVM 가상화 보호기를 사용하여 추가 난독화 계층을 사용하고 있는 것으로 나타났습니다. 또한 각 DotRunpeX 샘플에는 주입할 특정 맬웨어 계열. 이 맬웨어는 지정된 맬웨어 방지 프로세스 목록을 사용하여 종료합니다. 이는 커널 모드 실행을 얻기 위해 DotRunpeX에 포함된 취약한 프로세스 탐색기 드라이버(procexp.sys)의 남용으로 인해 가능합니다.

Infostealer 및 트로이 목마에 대해 충분한 보안을 유지하십시오.

Infostealer 및 Trojans는 사용자의 장치 및 개인 정보에 심각한 위험을 초래하는 두 가지 유형의 악성 소프트웨어입니다.

이름에서 알 수 있듯이 Infostealer는 로그인 자격 증명, 신용 카드 세부 정보 및 기타 개인 데이터와 같은 민감한 정보를 훔치도록 설계되었습니다. 사용자의 온라인 활동을 모니터링하고, 키 입력을 캡처하고, 웹 브라우저, 이메일 클라이언트 및 기타 애플리케이션에서 데이터를 도용하는 데 사용할 수 있습니다. Infostealer는 종종 이메일 첨부 파일, 악성 링크를 통해 전달되거나 다른 소프트웨어와 함께 번들로 제공되며 오랜 기간 동안 탐지되지 않은 상태로 유지되어 공격자가 지속적으로 데이터를 수집할 수 있습니다.

반면에 트로이 목마는 무해하거나 유용하게 보이도록 설계된 맬웨어 유형이지만 실제로는 숨겨진 악성 기능을 포함하고 있습니다. 사용자 장치에 대한 무단 액세스 권한을 얻거나 중요한 데이터를 훔치거나 파일 및 소프트웨어를 손상시키는 데 사용할 수 있습니다. 트로이 목마는 활성화될 때까지 오랜 시간 동안 침해된 장치에서 탐지되지 않은 상태로 남아 있을 수 있습니다.