Verblecon Malware

Detaljer om en ny kraftfull skadlig programvara som heter Verblecon har kommit fram. Den hotande stammen upptäcktes först av forskare redan i januari 2022. Enligt deras upptäckter använder den hotaktör som för närvarande använder Verblecon Malware som en del av sina attacker endast en liten del av hotets kapacitet. Trots att Verblecon har kapaciteten att utföra ett flertal invasiva åtgärder på de brutna enheterna, har Verblecon hittills förpassats till rollen som en lastare som levererar nyttolaster för kryptomining.

Tekniska detaljer

Skadlig programvara från Verblecon är Java-baserad och har polymorf natur. Det betyder att koden för hotets nyttolast ser annorlunda ut varje gång den laddas ner. Sådana sofistikerade tekniker används vanligtvis av hotaktörer som är involverade i cyberspionage. Dessutom är kodflödet, strängarna och symbolerna för hotet helt otydliga, vilket gör Verbelcon extremt smygande.

Hotet utför också flera kontroller för virtualiserings- och sandlådemiljöer. Den hämtar en lista över de processer som för närvarande körs och matchar mot ett förutbestämt urval av filer som är kända för att vara associerade med virtuella maskinsystem. Om alla kontroller godkänns kommer hotet att fortsätta med sin exekvering genom att kopiera sig själv till en lokal katalog som %ProgramData% , %LOCALAPPDATA% och Users .

Verblecon kommer att försöka upprätta kontakt med en Command-and-Control-server (C2) med jämna mellanrum för att erhålla och distribuera en ny nyttolast. Nyttolasten fördunklas med liknande tekniker och kontrollerar även miljön efter tecken på virtualisering. Enligt forskarna är den huvudsakliga uppgiften för nyttolasten att ladda ner och köra en binär fil, som sedan kommer att injiceras i %Windows%\SysWow64\dllhost.exe .

Som vi sa, de nuvarande operationerna som involverar Verblecon utnyttjar inte hotets fulla kapacitet och är begränsade till att leverera mestadels krypto-mining-hot. Det finns också tecken på att angriparna är intresserade av att skaffa offrens Discord-tokens.