Zlonamerna programska oprema Verblecon

Razkrite so bile podrobnosti o novi močni zlonamerni programski opremi z imenom Verblecon. Nevarni sev so raziskovalci prvič odkrili že januarja 2022. Po njihovih ugotovitvah akter grožnje, ki trenutno uporablja zlonamerno programsko opremo Verblecon kot del svojih napadov, uporablja le majhen del zmogljivosti grožnje. Dejansko je bil Verblecon kljub zmožnosti izvajanja številnih invazivnih dejanj na vlomljenih napravah doslej prepuščen vlogi nakladalnika, ki prinaša koristne obremenitve za kripto-rudarjenje.

Tehnične podrobnosti

Zlonamerna programska oprema Verblecon temelji na Javi in ima polimorfno naravo. To pomeni, da je koda koristnega tovora grožnje vsakič, ko se prenese, videti drugače. Takšne sofisticirane tehnike običajno uporabljajo akterji grožnje, ki sodelujejo v kibernetskem vohunjenju. Poleg tega so tok kode, nizi in simboli grožnje popolnoma prikriti, zaradi česar je Verbelcon izjemno prikrit.

Grožnja izvaja tudi več preverjanj za okolja virtualizacije in peskovnika. Pridobi seznam trenutno delujočih procesov in se ujema z vnaprej določenim izborom datotek, za katere je znano, da so povezane s sistemi virtualnih strojev. Če so vsa preverjanja opravljena, se bo grožnja nadaljevala z izvajanjem tako, da se kopira v lokalni imenik, kot so %ProgramData% , %LOCALAPPDATA% in Uporabniki .

Verblecon bo poskušal občasno vzpostaviti stik s strežnikom za upravljanje in nadzor (C2), da bi pridobil in namestil novo koristno obremenitev. S podobnimi tehnikami je koristna obremenitev zakrita, poleg tega pa preveri okolje za znake virtualizacije. Po mnenju raziskovalcev je glavna naloga koristne obremenitve prenos in izvajanje binarne datoteke, ki bo nato vbrizgana v %Windows%\SysWow64\dllhost.exe .

Kot smo povedali, trenutne operacije, ki vključujejo Verblecon, ne izkoriščajo vseh zmožnosti grožnje in so omejene na zagotavljanje večinoma groženj kripto rudarjenja. Obstajajo tudi znaki, da so napadalci zainteresirani za pridobitev žetonov Discord žrtev.