„Verblecon“ kenkėjiška programa

Buvo atskleista informacija apie naują galingą kenkėjišką programą, pavadintą Verblecon. Grėsmę keliančią įtampą tyrėjai pirmą kartą aptiko 2022 m. sausio mėn. Remiantis jų išvadomis, grėsmės veikėjas, šiuo metu naudojantys Verblecon kenkėjišką programą savo atakų operacijoms, naudoja tik nedidelę grėsmės galimybių dalį. Iš tiesų, nepaisant galimybės atlikti daugybę invazinių veiksmų pažeistuose įrenginiuose, iki šiol „Verblecon“ buvo nuleistas į krautuvą, teikiantį kriptovaliutų kasybos naudinguosius krovinius.

Techninės detalės

„Verblecon“ kenkėjiška programa yra pagrįsta „Java“ ir yra polimorfinė. Tai reiškia, kad kiekvieną kartą atsisiunčiant grėsmės naudingojo krovinio kodas atrodo kitaip. Tokius sudėtingus metodus paprastai naudoja kibernetiniame šnipinėjime dalyvaujantys grėsmės veikėjai. Be to, kodo srautas, eilutės ir grėsmės simboliai yra visiškai užmaskuoti, todėl „Verbelcon“ yra ypač slaptas.

Grėsmė taip pat atlieka keletą virtualizacijos ir smėlio dėžės aplinkos patikrinimų. Jis gauna šiuo metu vykdomų procesų sąrašą ir atitinka iš anksto nustatytą failų, kurie, kaip žinoma, yra susieti su virtualių mašinų sistemomis, pasirinkimą. Jei visi patikrinimai bus patvirtinti, grėsmė tęs savo veiklą, nukopijuodama save į vietinį katalogą, pvz., %ProgramData% , %LOCALAPPDATA% ir Users .

„Verblecon“ periodiškai bandys užmegzti ryšį su „Command-and-Control“ (C2) serveriu, kad gautų ir įdiegtų naują naudingą apkrovą. Naudingoji apkrova užtemdoma naudojant panašius metodus ir taip pat patikrinama, ar aplinkoje nėra virtualizacijos požymių. Tyrėjų teigimu, pagrindinė naudingojo krovinio užduotis yra atsisiųsti ir vykdyti dvejetainį failą, kuris vėliau bus įterptas į %Windows%\SysWow64\dllhost.exe .

Kaip jau minėjome, dabartinės operacijos, susijusios su Verblecon, neišnaudoja visų grėsmės galimybių ir apsiriboja daugiausia kriptovaliutų kasybos grėsmių pateikimu. Taip pat yra požymių, kad užpuolikai yra suinteresuoti gauti aukų „Discord“ žetonus.