DotRunpeX

DotRunpeX 是最近發現的惡意軟件，已被確定為多個已知惡意軟件系列的分發者。該威脅是一種新型注入器，使用 Process Hollowing 技術開發並使用 .NET 編程語言編寫。該惡意軟件旨在用各種類型的惡意軟件感染系統。安全研究人員在一份報告中披露了有關威脅的詳細信息

據說 DotRunpeX 目前正在積極開發中，通常作為感染鏈中的第二階段惡意軟件出現。它通常通過下載器（也稱為加載器）進行部署，下載器通過包含惡意附件的網絡釣魚電子郵件傳輸給受害者。執行加載程序後，它會啟動將 DotRunpeX 注入系統，然後促進安裝其他惡意軟件系列。威脅行為者可能依賴 DotRunpeX 部署來自Agent Tesla 、 Ave Maria 、BitRAT、 FormBook 、 RedLine Stealer 、 LokiBot 、 XWorm 、 NetWire 、 Raccoon Stealer 、 Remcos 、 Rhadamanthys和Vidar系列的下一階段有效載荷。

DotRunpeX 可能利用不安全的谷歌廣告

DotRunpeX 是一種惡意軟件，眾所周知，它會使用多種策略來感染用戶的設備。據觀察，DotRunpeX 使用的方法之一是利用搜索結果頁面上的惡意 Google 廣告來引誘毫無戒心的用戶點擊託管木馬化安裝程序的山寨網站。這是通過將搜索 AnyDesk 和 LastPass 等流行軟件的用戶引導至這些虛假網站來完成的。

最近對 DotRunpeX 的分析表明，該惡意軟件通過在 2022 年 10 月首次發現的最新工件中使用 KoiVM 虛擬化保護程序，一直在使用額外的混淆層。此外，每個 DotRunpeX 樣本都被發現有一個嵌入式有效載荷某些惡意軟件家族被注入。該惡意軟件使用指定的反惡意軟件進程列表來終止，這可能是由於濫用 DotRunpeX 中包含的易受攻擊的進程資源管理器驅動程序 (procexp.sys) 以獲取內核模式執行。

確保對信息竊取程序和特洛伊木馬俱有足夠的安全性

信息竊取程序和特洛伊木馬程序是兩種類型的惡意軟件，它們對用戶的設備和個人信息構成重大危險。

顧名思義，信息竊取程序旨在竊取敏感信息，例如登錄憑據、信用卡詳細信息和其他個人數據。它們可用於監視用戶的在線活動、捕獲擊鍵以及從 Web 瀏覽器、電子郵件客戶端和其他應用程序竊取數據。信息竊取程序通常通過電子郵件附件、惡意鏈接或與其他軟件捆綁在一起傳播，並且可以長時間不被發現，從而使攻擊者能夠持續收集數據。

另一方面，特洛伊木馬是一種惡意軟件，旨在看似無害或有用，但實際上包含隱藏的惡意功能。它們可用於未經授權訪問用戶設備、竊取敏感數據或損壞文件和軟件。木馬可能會在被破壞的設備上長時間保持未被發現，直到被激活。