Online si sta diffondendo un nuovo injector .NET alquanto temibile, conosciuto come DotRunpeX.
Questo agente malevolo utilizza la tecnica Process Hollowing, attraverso la esso è in grado di distribuire a sua volta una vasta gamma di altri famiglie malware. Grazie all’instancabile lavoro dei ricercatori di sicurezza informatica di Check Point, è stato possibile scoprire la strategia adottata dai cybercriminali durante questa campagna.
Gli esperti hanno inoltre confermato in un rapporto inviato a Cyber Security News che tale injector si sta sviluppando e evolvendo rapidamente, rendendo il lavoro di classificazione e contrasto ancora più difficile.
Nello specifico, l’ultima versione di DotRunpeX risulta altamente configurabile, con funzioni adibite all’aggiramento di protezioni rispetto alla crittografia e blocco di sistemi anti-malware. A ciò si aggiungono tecniche di bypass dell’UAC, abuso del driver procexp (anch’esso finalizzato a contrastare antivirus e simili).
Segno distintivo dell’injector è però la varietà di malware che, a seconda del caso, può distribuire sui dispositivi delle vittime. Tra di essi figurano:
- AgentTesla
- ArrowRAT
- AsyncRat
- AveMaria/WarzoneRAT
- BitRAT
- Formbook
- LgoogLoader
- Lokibot
- NetWire
- PrivateLoader
- QuasarRAT
- RecordBreaker – Raccoon Stealer 2.0
- Redline
- Remcos
- Rhadamanthys
- SnakeKeylogger
- Vidar
- XWorm.
Tra di essi, come è facile notare, figurano alcuni tra i malware più temuti degli ultimi anni.
DotRunpeX è in continua mutazione: come limitare i rischi
Altra caratteristica di DotRunpeX è che, come tanti altri agenti malevoli simili, sfrutta siti Web compromessi o e-mail phishing come principali vettori, pur non disdegnando ads malevole su Google.
Come ricordato dagli esperti, l’injector in questione sta acquisendo con una rapidità impressionante nuove funzionalità. Proprio per questo, gli stessi consigliano agli utenti massima cautela per evitare di incentivare il propagarsi di questo agente malevolo.
Fare grande attenzione alla posta elettronica, evitando link e allegati sospetti, è di certo un ottimo modo per contrastare, perlomeno in parte, i rischi legati a DotRunpeX. L’utilizzo di un antivirus di alto livello, soprattutto se aggiornato con costanza, può ulteriormente mitigare i rischi.