Verblecon Malware
Ujawniono szczegóły nowego, potężnego złośliwego oprogramowania o nazwie Verblecon. Zagrażający szczep został po raz pierwszy wykryty przez badaczy w styczniu 2022 roku. Zgodnie z ich ustaleniami, cyberprzestępca wykorzystujący obecnie Verblecon Malware w ramach swoich operacji ataku, wykorzystuje tylko niewielką część możliwości zagrożenia. Rzeczywiście, pomimo możliwości wykonywania wielu inwazyjnych działań na złamanych urządzeniach, do tej pory Verblecon był spychany do roli programu ładującego dostarczającego ładunki do kopania kryptowalut.
Szczegóły techniczne
Szkodliwe oprogramowanie Verblecon jest oparte na Javie i ma polimorficzny charakter. Oznacza to, że kod ładunku zagrożenia wygląda inaczej za każdym razem, gdy jest pobierany. Takie wyrafinowane techniki są zwykle stosowane przez cyberprzestępców zaangażowanych w cyberszpiegostwo. Co więcej, przepływ kodu, ciągi znaków i symbole zagrożenia są w pełni zaciemnione, dzięki czemu Verbelcon jest niezwykle ukryty.
Zagrożenie wykonuje również kilka testów pod kątem środowisk wirtualizacji i piaskownicy. Pobiera listę aktualnie uruchomionych procesów i dopasowuje wstępnie określony wybór plików, o których wiadomo, że są powiązane z systemami maszyn wirtualnych. Jeśli wszystkie testy zostaną pomyślnie przeprowadzone, zagrożenie będzie kontynuowało wykonywanie, kopiując się do lokalnego katalogu, takiego jak %ProgramData% , %LOCALAPPDATA% i Użytkownicy .
Verblecon będzie próbował okresowo nawiązać kontakt z serwerem Command-and-Control (C2), aby uzyskać i wdrożyć nowy ładunek. Ładunek jest zaciemniany przy użyciu podobnych technik, a także sprawdza środowisko pod kątem oznak wirtualizacji. Według badaczy głównym zadaniem ładunku jest pobranie i wykonanie pliku binarnego, który następnie zostanie wstrzyknięty do %Windows%\SysWow64\dllhost.exe .
Jak powiedzieliśmy, obecne operacje związane z Verblecon nie wykorzystują pełnych możliwości zagrożenia i ograniczają się do dostarczania głównie zagrożeń związanych z kopaniem kryptowalut. Istnieją również oznaki, że atakujący są zainteresowani zdobyciem tokenów Discord ofiar.
