Verblecon Malware
Verbleconという名前の新しい強力なマルウェアに関する詳細が明らかになりました。脅威となる株は、2022年1月に研究者によって最初に検出されました。彼らの調査結果によると、攻撃操作の一部として現在Verbleconマルウェアを使用している脅威アクターは、脅威の機能のごく一部しか利用していません。実際、侵害されたデバイスに対して多数の侵入アクションを実行する能力があるにもかかわらず、これまでのところ、Verbleconは暗号マイニングペイロードを配信するローダーの役割に追いやられていました。
技術的な詳細
VerbleconマルウェアはJavaベースであり、多形性を持っています。これは、脅威のペイロードのコードがダウンロードされるたびに異なって見えることを意味します。このような高度な技術は、通常、サイバースパイに関与する脅威アクターによって採用されています。さらに、脅威のコードフロー、文字列、および記号はすべて完全に難読化されているため、Verbelconは非常にステルスになっています。
この脅威は、仮想化およびサンドボックス環境に対してもいくつかのチェックを実行します。現在実行中のプロセスのリストをフェッチし、仮想マシンシステムに関連付けられていることがわかっているファイルの所定の選択と照合します。すべてのチェックに合格すると、脅威は、 %ProgramData% 、 %LOCALAPPDATA% 、 Usersなどのローカルディレクトリに自分自身をコピーすることで実行を継続します。
Verbleconは、コマンドアンドコントロール(C2)サーバーとの接続を定期的に確立して、新しいペイロードを取得して展開しようとします。ペイロードは、同様の手法を使用して難読化され、仮想化の兆候がないか環境をチェックします。研究者によると、ペイロードの主なタスクは、バイナリファイルをダウンロードして実行することです。このファイルは、後で%Windows%\ SysWow64\dllhost.exeに挿入されます。
すでに述べたように、Verbleconが関与する現在の操作は、脅威の全機能を活用しておらず、主に暗号化マイニングの脅威を提供することに限定されています。攻撃者が被害者のDiscordトークンの取得に関心を持っている兆候もあります。
