Una nueva pieza de malware llamada dotRunpeX se está utilizando para distribuir numerosas familias de malware conocidas como Agent Tesla, Ave Maria, BitRAT, FormBook, LokiBot, NetWire, Raccoon Stealer, RedLine Stealer, Remcos, Rhadamanthys y Vidar.
“DotRunpeX es un nuevo inyector escrito en .NET que utiliza la técnica Process Hollowing y se utiliza para infectar sistemas con una variedad de familias de malware conocidas”, dijo Check Point en un informe publicado la semana pasada.
Se dice que está en desarrollo activo, dotRunpeX llega como un malware de segunda etapa en la cadena de infección, a menudo implementado a través de un descargador (también conocido como cargador) que se transmite a través de correos electrónicos de phishing como archivos adjuntos maliciosos.
Alternativamente, se sabe que aprovecha los anuncios maliciosos de Google en las páginas de resultados de búsqueda para dirigir a los usuarios desprevenidos que buscan software popular como AnyDesk y LastPass a sitios de imitación que alojan instaladores troyanos.
Los últimos artefactos de DotRunpeX, vistos por primera vez en octubre de 2022, agregan una capa de ofuscación adicional utilizando el protector de virtualización KoiVM.
Vale la pena señalar que los hallazgos encajan con una campaña de publicidad maliciosa documentada por SentinelOne el mes pasado en la que el cargador y los componentes del inyector se denominaron colectivamente MalVirt.
El análisis de Check Point ha revelado además que “cada muestra de dotRunpeX tiene una carga útil incrustada de una destinada familia de malware para ser inyectada”, y el inyector especifica una lista de procesos antimalware que deben terminarse.
Esto, a su vez, es posible abusando de un controlador de explorador de procesos vulnerable (procexp.sys) que se incorpora en dotRunpeX para obtener la ejecución en modo kernel.
Hay indicios de que dotRunpeX podría estar afiliado a actores de habla rusa en función de las referencias lingüísticas en el código. Las familias de malware entregadas con mayor frecuencia entregadas por la amenaza emergente incluyen RedLine, Raccoon, Vidar, Agent Tesla y FormBook.
