DotRunpeX ծրագրի նոր մասն օգտագործվում է բազմաթիվ հայտնի չարամիտ ծրագրային ընտանիքներ տարածելու համար, ինչպիսիք են՝ Agent Tesla-ն, Ave Maria-ն, BitRAT-ը, FormBook-ը, LokiBot-ը, NetWire-ը, Raccoon Stealer-ը, RedLine Stealer-ը, Remcos-ը և Rhadamanth-ն:
«DotRunpeX-ը բոլորովին նոր մոտեցում է, որը գրված է .NET-ով: Այն կիրառում է օգտագործելով Process Hollowing տեխնիկան և օգտագործվում է համակարգերի աշխատանքը խափանող ծրագրերի մի շարք հայտնի գործիքներով», – ասվում է Check Point-ում հրապարակված զեկույցում:
Որպես այլընտրանք Google Ads-ն այն կիրառում է որոնման արդյունքների էջերում՝ ուղղորդելով այն օգտատերերին, ովքեր փնտրում են հանրաճանաչ ծրագրեր, ինչպիսիք են՝ AnyDesk-ը և LastPass-ը: Բեռնման ժամանակ գործարկվում են trojan-ահենք installer-երը:
Check Point-ի հետագա վերլուծություններն ու դիտարկումները ցույց տվեցին, որ «յուրաքանչյուր dotRunpeX նմուշ ունի որոշակի չարամիտ ծրագրի կողմից գրված կոդ»:
Հիմնվելով ծածկագրի լեզվական հղումների փաստի վրա՝ նշմարվում են հստակ մեսիջներ, որ dotRunpeX-ը ամենայն հավանականությամբ կապված է ռուսալեզու հեղինակների հետ: Ամենահաճախ կիրառվող չարամիտ ծրագերի ցանկն իր մեջ ներառում է հետևյալ ծրագրերը՝ RedLine, Raccoon, Vidar, Agent Tesla և FormBook:
Աղբյուրը՝ https://thehackernews.com/