Verblecon skadelig programvare

Detaljer om en ny kraftig skadelig programvare kalt Verblecon har blitt brakt frem i lyset. Den truende stammen ble først oppdaget av forskere tilbake i januar 2022. Ifølge funnene deres bruker trusselaktøren som for tiden bruker Verblecon Malware som en del av angrepsoperasjonene sine, bare en liten del av trusselens evner. Til tross for å ha kapasitet til å utføre en rekke invasive handlinger på de brutte enhetene, ble Verblecon så langt henvist til rollen som en laster som leverer nyttelaster for kryptogruvedrift.

Tekniske detaljer

Verblecon malware er Java-basert og har polymorf natur. Dette betyr at koden til trusselens nyttelast ser annerledes ut hver gang den lastes ned. Slike sofistikerte teknikker brukes vanligvis av trusselaktører involvert i nettspionasje. Videre er kodeflyten, strengene og symbolene til trusselen alle fullstendig tilsløret, noe som gjør Verbelcon ekstremt snikende.

Trusselen utfører også flere kontroller for virtualiserings- og sandkassemiljøer. Den henter en liste over prosessene som kjører for øyeblikket og samsvarer med et forhåndsbestemt utvalg av filer som er kjent for å være assosiert med virtuelle maskinsystemer. Hvis alle sjekker blir bestått, vil trusselen fortsette med utførelse ved å kopiere seg selv til en lokal katalog som %ProgramData% , %LOCALAPPDATA% og Users .

Verblecon vil forsøke å etablere kontakt med en Command-and-Control-server (C2) med jevne mellomrom for å skaffe og distribuere en ny nyttelast. Nyttelasten tilsløres ved hjelp av lignende teknikker og sjekker også miljøet for tegn på virtualisering. Ifølge forskerne er hovedoppgaven til nyttelasten å laste ned og kjøre en binær fil, som deretter vil bli injisert i %Windows%\SysWow64\dllhost.exe .

Som vi sa, utnytter ikke de nåværende operasjonene som involverer Verblecon trusselens fulle muligheter og er begrenset til å levere hovedsakelig kryptogruvedriftstrusler. Det er også tegn på at angriperne er interessert i å skaffe ofrenes Discord-tokens.