Verblecon Malware
Detaje rreth një malware të ri të fuqishëm të quajtur Verblecon janë nxjerrë në dritë. Lloji kërcënues u zbulua për herë të parë nga studiuesit në janar 2022. Sipas gjetjeve të tyre, aktori i kërcënimit që aktualisht përdor Verblecon Malware si pjesë e operacioneve të tyre të sulmit, përdor vetëm një pjesë të vogël të aftësive të kërcënimit. Në të vërtetë, pavarësisht se kishte aftësinë për të kryer veprime të shumta pushtuese në pajisjet e shkelura, deri më tani Verblecon u transferua në rolin e një ngarkuesi që jep ngarkesa të dobishme për minierat e kriptove.
Detaje teknike
Malware Verblecon është i bazuar në Java dhe ka natyrë polimorfike. Kjo do të thotë që kodi i ngarkesës së kërcënimit duket i ndryshëm sa herë që shkarkohet. Teknika të tilla të sofistikuara zakonisht përdoren nga aktorë kërcënimi të përfshirë në spiunazh kibernetik. Për më tepër, rrjedha e kodit, vargjet dhe simbolet e kërcënimit janë të gjitha plotësisht të turbullta, duke e bërë Verbelcon jashtëzakonisht të fshehtë.
Kërcënimi kryen gjithashtu disa kontrolle për mjediset e virtualizimit dhe sandbox. Ai merr një listë të proceseve që po ekzekutohen aktualisht dhe përputhet me një përzgjedhje të paracaktuar të skedarëve që dihet se lidhen me sistemet e makinave virtuale. Nëse kalohen të gjitha kontrollet, kërcënimi do të vazhdojë me ekzekutimin e tij duke e kopjuar veten në një direktori lokale si %ProgramData% , %LOCALAPPDATA% dhe Përdoruesit .
Verblecon do të përpiqet të krijojë kontakt me një server Command-and-Control (C2) në mënyrë periodike për të marrë dhe vendosur një ngarkesë të re. Ngarkesa errësohet duke përdorur teknika të ngjashme dhe gjithashtu kontrollon mjedisin për shenja të virtualizimit. Sipas studiuesve, detyra kryesore e ngarkesës është shkarkimi dhe ekzekutimi i një skedari binar, i cili më pas do të injektohet në %Windows%\SysWow64\dllhost.exe .
Siç thamë, operacionet aktuale që përfshijnë Verblecon nuk shfrytëzojnë aftësitë e plota të kërcënimit dhe janë të kufizuara në ofrimin e kërcënimeve kryesisht të kripto-minierave. Ka gjithashtu shenja se sulmuesit janë të interesuar të marrin shenjat Discord të viktimave.
