DotRunpeX

DotRunpeX は最近発見されたマルウェアで、複数の既知のマルウェア ファミリのディストリビューターとして識別されています。この脅威は、Process Hollowing 手法を使用して開発され、.NET プログラミング言語で記述された新しいタイプのインジェクターです。このマルウェアは、さまざまな種類の悪意のあるソフトウェアでシステムに感染するように設計されています。脅威に関する詳細は、セキュリティ研究者によるレポートで明らかになりました

DotRunpeX は現在活発に開発されていると言われ、通常、感染チェーンの第 2 段階のマルウェアとして登場します。これは一般的に、ローダーとも呼ばれるダウンローダーを介して展開され、悪意のある添付ファイルを含むフィッシング メールを介して被害者に送信されます。ローダーが実行されると、システムへの DotRunpeX のインジェクションが開始され、追加のマルウェア ファミリのインストールが容易になります。攻撃者は DotRunpeX を利用して、 Agent Tesla 、 Ave Maria 、BitRAT、 FormBook 、 RedLine Stealer 、 LokiBot 、 XWorm 、 NetWire 、 Raccoon Stealer 、 Remcos 、 Rhadamanthys 、およびVidarファミリーから次の段階のペイロードを展開する可能性があります。

DotRunpeX は安全でない Google 広告を利用する可能性があります

DotRunpeX は、さまざまな戦術を使用してユーザーのデバイスに感染することが知られているマルウェアです。 DotRunpeX が使用することが確認されている方法の 1 つは、検索結果ページで悪意のある Google 広告を利用して、疑いを持たないユーザーをおびき寄せ、トロイの木馬化されたインストーラーをホストする模倣 Web サイトをクリックするように誘導することです。これは、AnyDesk や LastPass などの人気のあるソフトウェアを検索しているユーザーをこれらの偽の Web サイトに誘導することによって行われます。

DotRunpeX の最近の分析により、このマルウェアは、2022 年 10 月に最初に発見された最新のアーティファクトで KoiVM 仮想化プロテクターを使用することにより、追加の難読化レイヤーを使用していることが明らかになりました。さらに、各 DotRunpeX サンプルには、インジェクトされる特定のマルウェア ファミリ。マルウェアは、指定されたマルウェア対策プロセスのリストを使用して終了します。これは、DotRunpeX に含まれる脆弱なプロセス エクスプローラー ドライバー (procexp.sys) を悪用してカーネル モードの実行を取得することが原因で発生する可能性があります。

インフォスティーラーやトロイの木馬に対する十分なセキュリティを確保する

インフォスティーラーとトロイの木馬は、ユーザーのデバイスと個人情報に重大な危険をもたらす 2 種類の悪意のあるソフトウェアです。

Infostealer は、名前が示すように、ログイン資格情報、クレジット カードの詳細、その他の個人データなどの機密情報を盗むように設計されています。これらは、ユーザーのオンライン アクティビティの監視、キーストロークのキャプチャ、および Web ブラウザー、電子メール クライアント、およびその他のアプリケーションからのデータの盗用に使用できます。多くの場合、インフォスティーラーは、電子メールの添付ファイル、悪意のあるリンク、または他のソフトウェアにバンドルされて配信され、長期間検出されず、攻撃者が継続的にデータを収集できるようになります。

一方、トロイの木馬はマルウェアの一種で、無害または有用に見えるように設計されていますが、実際には悪意のある機能が隠されています。ユーザーのデバイスへの不正アクセス、機密データの盗難、ファイルやソフトウェアの損傷に使用される可能性があります。トロイの木馬は、侵害されたデバイス上で、アクティブになるまで長期間検出されないままになる可能性があります。