Verblecon Malware

Detalhes sobre um novo malware poderoso chamado Verblecon foram revelados. O tipo ameaçador foi detectado pela primeira vez pelos pesquisadores em janeiro de 2022. De acordo com suas descobertas, o agente da ameaça que atualmente usa o Verblecon Malware como parte de suas operações de ataque utiliza apenas uma pequena parte dos recursos da ameaça. De fato, apesar de ter a capacidade de executar inúmeras ações invasivas nos dispositivos violados, até agora o Verblecon foi relegado ao papel de um carregador que entrega cargas úteis de mineração de criptografia.

Detalhes Técnicos

O malware Verblecon é baseado no Java e tem natureza polimórfica. Isso significa que o código da carga útil da ameaça parece diferente toda vez que é baixado. Essas técnicas sofisticadas são normalmente empregadas por agentes de ameaças envolvidos em ciberespionagem. Além disso, o fluxo de código, strings e símbolos da ameaça são totalmente ofuscados, tornando o Verbelcon extremamente furtivo.

A ameaça também realiza várias digitalizações para ambientes de virtualização e sandbox. Ela busca uma lista dos processos em execução no momento e combina com uma seleção predeterminada de arquivos conhecidos por estarem associados a sistemas de máquinas virtuais. Se todas as digitalizações forem aprovadas, a ameaça continuará com sua execução copiando-se para um diretório local como %ProgramData% , %LOCALAPPDATA% e Users .

O Verblecon tentará estabelecer contato com um servidor de Comando e Controle (C2) periodicamente para obter e implantar uma nova carga útil. A carga útil é ofuscada usando técnicas semelhantes e também verifica o ambiente em busca de sinais de virtualização. Segundo os pesquisadores, a principal tarefa do payload é baixar e executar um arquivo binário, que posteriormente será injetado no %Windows%\SysWow64\dllhost.exe .

Como dissemos, as operações atuais envolvendo a Verblecon não exploram todos os recursos da ameaça e se limitam a fornecer principalmente ameaças de mineração de cripto-moeda. Também há sinais de que os invasores estão interessados em obter os tokens do Discord das vítimas.