PuntRunpeX

DotRunpeX is een onlangs ontdekte malware die is geïdentificeerd als een distributeur voor meerdere bekende malwarefamilies. De dreiging is een nieuw type injector dat is ontwikkeld met behulp van de Process Hollowing-techniek en geschreven in de programmeertaal .NET. De malware is ontworpen om systemen te infecteren met verschillende soorten schadelijke software. Details over de dreiging werden onthuld in een rapport van de beveiligingsonderzoeker

DotRunpeX zou momenteel in actieve ontwikkeling zijn en arriveert doorgaans als een tweede fase malware in de infectieketen. Het wordt gewoonlijk ingezet via een downloader, ook wel een loader genoemd, die naar de slachtoffers wordt verzonden via phishing-e-mails met kwaadaardige bijlagen. Zodra de loader is uitgevoerd, initieert het de injectie van DotRunpeX in het systeem, wat vervolgens de installatie van de extra malwarefamilies vergemakkelijkt. De bedreigingsactoren kunnen op DotRunpeX vertrouwen om payloads van de volgende fase in te zetten van de families Agent Tesla , Ave Maria , BitRAT, FormBook , RedLine Stealer , LokiBot , XWorm , NetWire , Raccoon Stealer , Remcos , Rhadamanthys en Vidar .

DotRunpeX kan gebruikmaken van onveilige Google-advertenties

DotRunpeX is malware waarvan bekend is dat deze verschillende tactieken gebruikt om de apparaten van gebruikers te infecteren. Een van de methoden waarvan is vastgesteld dat DotRunpeX deze gebruikt, is het gebruik van kwaadaardige Google-advertenties op pagina's met zoekresultaten om nietsvermoedende gebruikers ertoe te verleiden te klikken op copycat-websites die installatieprogramma's met trojans hosten. Dit wordt gedaan door gebruikers die zoeken naar populaire software zoals AnyDesk en LastPass naar deze nepwebsites te leiden.

Recente analyse van DotRunpeX heeft onthuld dat de malware een extra verduisteringslaag heeft gebruikt door de KoiVM-virtualisatiebeschermer te gebruiken in de nieuwste artefacten die voor het eerst werden opgemerkt in oktober 2022. Bovendien is ontdekt dat elk DotRunpeX-voorbeeld een ingebedde payload heeft van een bepaalde malwarefamilie die moet worden geïnjecteerd. De malware gebruikt een gespecificeerde lijst van anti-malwareprocessen die moeten worden beëindigd, wat mogelijk is vanwege misbruik van een kwetsbaar procesverkennerstuurprogramma (procexp.sys) dat is opgenomen in DotRunpeX om uitvoering van de kernelmodus te verkrijgen.

Zorg voor voldoende beveiliging tegen Infostealers en Trojaanse paarden

Infostealers en Trojaanse paarden zijn twee soorten schadelijke software die een aanzienlijk gevaar vormen voor de apparaten en persoonlijke informatie van gebruikers.

Infostealers zijn, zoals de naam al doet vermoeden, ontworpen om gevoelige informatie te stelen, zoals inloggegevens, creditcardgegevens en andere persoonlijke gegevens. Ze kunnen worden gebruikt om de online activiteiten van gebruikers te volgen, toetsaanslagen vast te leggen en gegevens te stelen van webbrowsers, e-mailclients en andere toepassingen. Infostealers worden vaak geleverd via e-mailbijlagen, kwaadaardige koppelingen of gebundeld met andere software, en kunnen lange tijd onopgemerkt blijven, waardoor aanvallers voortdurend gegevens kunnen verzamelen.

Trojaanse paarden daarentegen zijn een soort malware die is ontworpen om onschadelijk of nuttig te lijken, terwijl ze in werkelijkheid verborgen kwaadaardige functies bevatten. Ze kunnen worden gebruikt om ongeoorloofde toegang tot het apparaat van een gebruiker te krijgen, gevoelige gegevens te stelen of bestanden en software te beschadigen. Trojaanse paarden kunnen lange tijd onopgemerkt blijven op de gehackte apparaten totdat ze worden geactiveerd.

Trending

Meest bekeken

Bezig met laden...