มัลแวร์ Verblecon
รายละเอียดเกี่ยวกับมัลแวร์ทรงพลังตัวใหม่ชื่อ Verblecon ได้รับการเปิดเผยแล้ว นักวิจัยตรวจพบสายพันธุ์ที่คุกคามครั้งแรกเมื่อเดือนมกราคม พ.ศ. 2565 จากการค้นพบของพวกเขา ผู้คุกคามที่ใช้มัลแวร์ Verblecon เป็นส่วนหนึ่งของการโจมตี ใช้ความสามารถของภัยคุกคามเพียงเล็กน้อยเท่านั้น แท้จริงแล้ว แม้จะมีความสามารถในการดำเนินการรุกรานจำนวนมากบนอุปกรณ์ที่ถูกเจาะระบบ จนถึงตอนนี้ Verblecon ถูกผลักไสให้อยู่ในบทบาทของตัวโหลดที่ส่งมอบเพย์โหลดการขุดเข้ารหัสลับ
รายละเอียดทางเทคนิค
มัลแวร์ Verblecon นั้นใช้ Java และมีลักษณะที่หลากหลาย ซึ่งหมายความว่าโค้ดของเพย์โหลดของภัยคุกคามจะดูแตกต่างไปทุกครั้งที่ดาวน์โหลด เทคนิคที่ซับซ้อนดังกล่าวมักใช้โดยผู้คุกคามที่เกี่ยวข้องกับการจารกรรมทางอินเทอร์เน็ต นอกจากนี้ โค้ดโฟลว์ สตริง และสัญลักษณ์ของภัยคุกคามทั้งหมดถูกทำให้งงงวยอย่างสมบูรณ์ ทำให้ Verbelcon ลอบเร้นอย่างมาก
ภัยคุกคามยังทำการตรวจสอบหลายครั้งสำหรับสภาพแวดล้อมเสมือนจริงและแซนด์บ็อกซ์ จะดึงรายการกระบวนการที่กำลังทำงานอยู่และตรงกับการเลือกไฟล์ที่กำหนดไว้ล่วงหน้าซึ่งทราบว่าเชื่อมโยงกับระบบเครื่องเสมือน หากผ่านการตรวจสอบทั้งหมด ภัยคุกคามจะดำเนินการต่อไปโดยคัดลอกตัวเองไปยังไดเร็กทอรีในเครื่อง เช่น %ProgramData% , %LOCALAPPDATA% และ Users
Verblecon จะพยายามติดต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) เป็นระยะเพื่อรับและปรับใช้เพย์โหลดใหม่ เพย์โหลดถูกทำให้งงงวยโดยใช้เทคนิคที่คล้ายคลึงกันและยังตรวจสอบสภาพแวดล้อมเพื่อหาสัญญาณของเวอร์ชวลไลเซชัน นักวิจัยกล่าวว่างานหลักของเพย์โหลดคือการดาวน์โหลดและรันไฟล์ไบนารี ซึ่งจะถูกฉีดเข้าไปใน %Windows%\SysWow64\dllhost.exe ในภายหลัง
ดังที่เราได้กล่าวไปแล้ว การดำเนินการในปัจจุบันที่เกี่ยวข้องกับ Verblecon ไม่ได้ใช้ประโยชน์จากความสามารถทั้งหมดของภัยคุกคาม และจำกัดเฉพาะการส่งภัยคุกคามจากการทำเหมืองเข้ารหัสลับเป็นส่วนใหญ่ นอกจากนี้ยังมีสัญญาณว่าผู้โจมตีสนใจที่จะรับโทเค็น Discord ของเหยื่อ
