Verblecon Malware
Details over een nieuwe krachtige malware genaamd Verblecon zijn aan het licht gebracht. De bedreigende soort werd voor het eerst ontdekt door onderzoekers in januari 2022. Volgens hun bevindingen gebruikt de dreigingsactor die momenteel de Verblecon-malware gebruikt als onderdeel van hun aanvalsoperaties, slechts een klein deel van de mogelijkheden van de dreiging. Ondanks het vermogen om talloze invasieve acties uit te voeren op de geschonden apparaten, werd Verblecon tot nu toe gedegradeerd tot de rol van een lader die crypto-mining-payloads afleverde.
Technische details
De Verblecon-malware is op Java gebaseerd en heeft een polymorf karakter. Dit betekent dat de code van de payload van de dreiging er elke keer anders uitziet als deze wordt gedownload. Dergelijke geavanceerde technieken worden doorgaans gebruikt door dreigingsactoren die betrokken zijn bij cyberspionage. Bovendien zijn de codestroom, strings en symbolen van de dreiging allemaal volledig versluierd, wat Verbelcon extreem onopvallend maakt.
De dreiging voert ook verschillende controles uit voor virtualisatie- en sandbox-omgevingen. Het haalt een lijst op van de momenteel lopende processen en komt overeen met een vooraf bepaalde selectie van bestanden waarvan bekend is dat ze geassocieerd zijn met virtuele machinesystemen. Als alle controles zijn geslaagd, gaat de dreiging verder met zijn uitvoering door zichzelf naar een lokale map te kopiëren, zoals %ProgramData% , %LOCALAPPDATA% en Users .
Verblecon zal proberen om periodiek contact te leggen met een Command-and-Control (C2) server om een nieuwe payload te verkrijgen en in te zetten. De payload wordt versluierd met vergelijkbare technieken en controleert ook de omgeving op tekenen van virtualisatie. Volgens de onderzoekers is de belangrijkste taak van de payload het downloaden en uitvoeren van een binair bestand, dat vervolgens wordt geïnjecteerd in %Windows%\SysWow64\dllhost.exe .
Zoals we al zeiden, maken de huidige operaties met Verblecon geen gebruik van de volledige mogelijkheden van de dreiging en zijn ze beperkt tot het leveren van voornamelijk cryptomining-dreigingen. Er zijn ook tekenen dat de aanvallers geïnteresseerd zijn in het verkrijgen van Discord-tokens van slachtoffers.
