新型dotRunpeX恶意软件注入器的威胁

关键要点

• dotRunpeX恶意软件注入器被广泛用于多个恶意软件家族的部署。
• 在.NET环境中，最常见的恶意软件包括RedLine、Raccoon、Vidar等。
• 该注入器与使用俄语的攻击者有关，并通过恶意谷歌广告和钓鱼邮件进行传播。
• 最新的dotRunpeX样本采用KoiVM虚拟化保护以提高混淆性。
• 该注入器能够利用脆弱的procexp.sys进程探索驱动程序实现内核模式执行。

根据的报道，威胁行为者已经利用新的dotRunpeX恶意软件注入器来促进多个恶意软件家族的部署。其中，RedLine、Raccoon、Vidar、AgentTesla和FormBook是通过基于.NET的dotRunpeX注入器最常分发的恶意软件家族。此外，根据CheckPoint的报告，该注入器还用于传播LokiBot、PrivateLoader、AsyncRAT、BitRAT和NetWire恶意软件。

DotRunpeX注入器与说俄语的威胁行为者有关，因其代码中使用了俄语。研究人员指出，恶意的谷歌广告正在重定向用户到改造过的合法软件安装程序，例如LastPass和AnyDesk，同时还通过钓鱼邮件传播注入器。研究者发现，最新的dotRunpeX注入器运用了KoiVM虚拟化保护技术，以增强其混淆效果。“每个dotRunpeX样本中都嵌入了某种恶意软件家族的有效载荷，”研究人员表示，并补充道，注入器还利用脆弱的procexp.sys进程探测器驱动程序实现了内核模式执行。

总结 ：dotRunpeX恶意软件注入器的出现增强了威胁行为者的攻击能力，研究人员呼吁用户和安全专家提高对这类攻击的警惕，以防数据泄露和恶意软件感染。