يتم استخدام جزء جديد من البرامج الضارة يطلق عليها اسم dotRunpeX لتوزيع العديد من عائلات البرامج الضارة المعروفة مثل Agent Tesla و Ave Maria و BitRAT و FormBook و LokiBot و NetWire و Raccoon Stealer و RedLine Stealer و Remcos و Rhadamanthys و Vidar .
"DotRunpeX هو حاقن جديد مكتوب في .NET باستخدام تقنية Process Hollowing ويستخدم لإصابة الأنظمة بمجموعة متنوعة من عائلات البرامج الضارة المعروفة" ، قال Check Point في تقرير نُشر الأسبوع الماضي.
يقال أن dotRunpeX قيد التطوير النشط ، ويصل كبرنامج ضار من المرحلة الثانية في سلسلة العدوى ، وغالبًا ما يتم نشره عبر برنامج تنزيل (يُعرف أيضًا باسم أداة تحميل) يتم نقله عبر رسائل البريد الإلكتروني للتصيد الاحتيالي كمرفقات ضارة.
بدلاً من ذلك ، من المعروف أنه يستفيد من إعلانات Google الضارة على صفحات نتائج البحث لتوجيه المستخدمين المطمئنين الذين يبحثون عن برامج شائعة مثل AnyDesk و LastPass إلى مواقع مقلدة تستضيف مثبتات طروادة.
أحدث عناصر DotRunpeX ، التي تم رصدها لأول مرة في أكتوبر 2022 ، تضيف طبقة تشويش إضافية باستخدام واقي المحاكاة الافتراضية KoiVM.
تجدر الإشارة إلى أن النتائج تتوافق مع حملة الإعلانات الخاطئة التي وثقتها شركة SentinelOne الشهر الماضي والتي تمت الإشارة فيها إلى اللودر ومكونات الحاقن بشكل جماعي باسم MalVirt .
كشف تحليل Check Point أيضًا أن "كل عينة dotRunpeX بها حمولة مضمنة لعائلة معينة من البرامج الضارة ليتم حقنها" ، مع تحديد الحاقن قائمة بعمليات مكافحة البرامج الضارة التي سيتم إنهاؤها.
هذا ، بدوره ، أصبح ممكنًا عن طريق إساءة استخدام برنامج تشغيل مستكشف العمليات الضعيف (procexp.sys) المدمج في dotRunpeX وذلك للحصول على تنفيذ وضع kernel.
هناك إشارات على أن dotRunpeX يمكن أن تكون تابعة لممثلين ناطقين بالروسية بناءً على مراجع اللغة في الكود. تشمل أكثر عائلات البرامج الضارة التي يتم تسليمها من خلال التهديد الناشئ RedLine و Raccoon و Vidar و Agent Tesla و FormBook.