Зловмисне програмне забезпечення Verblecon

Стали відомі подробиці про нову потужну шкідливу програму під назвою Verblecon. Вперше загрозливий штам був виявлений дослідниками ще в січні 2022 року. Згідно з їхніми висновками, загроза, яка зараз використовує зловмисне програмне забезпечення Verblecon як частину своїх операцій з атаки, використовує лише невелику частину можливостей загрози. Справді, незважаючи на можливість виконувати численні інвазивні дії на зламаних пристроях, до цього часу Verblecon була відведена до ролі завантажувача, який доставляє корисні навантаження для крипто-майнінгу.

Технічні деталі

Шкідливе програмне забезпечення Verblecon засноване на Java і має поліморфну природу. Це означає, що код корисного навантаження загрози виглядає інакше щоразу, коли його завантажують. Такі складні прийоми зазвичай використовуються суб’єктами загрози, які беруть участь у кібершпигунстві. Крім того, потік коду, рядки та символи загрози повністю затуманені, що робить Verbelcon надзвичайно схованою.

Загроза також виконує кілька перевірок для віртуалізації та пісочниць. Він отримує список поточних запущених процесів і збігається з попередньо визначеним набором файлів, які, як відомо, пов’язані з системами віртуальних машин. Якщо всі перевірки пройдено, загроза продовжить своє виконання, скопіюючи себе в локальний каталог, наприклад %ProgramData% , %LOCALAPPDATA% і Users .

Verblecon періодично намагатиметься встановити зв’язок із сервером командування й керування (C2), щоб отримати та розгорнути нове корисне навантаження. Корисне навантаження обфускується за допомогою подібних методів, а також перевіряється середовище на наявність ознак віртуалізації. За словами дослідників, основним завданням корисного навантаження є завантаження та виконання двійкового файлу, який згодом буде введений в %Windows%\SysWow64\dllhost.exe .

Як ми вже сказали, поточні операції, пов’язані з Verblecon, не використовують усі можливості загрози і обмежуються наданням переважно загроз крипто-майнінгу. Також є ознаки того, що зловмисники зацікавлені в отриманні токенів Discord жертв.