Исследуя недавние атаки malvertising (вредоносная реклама), компания SentinelLabs заметила кластер виртуализированных загрузчиков вредоносного ПО, который присоединился к этой тенденции. Загрузчики реализованы в .NET и используют виртуализацию, основанную на виртуализационном защитнике приложений .NET KoiVM, чтобы замаскировать их реализацию и выполнение. SentinelLabs называет эти загрузчики MalVirt (недавно замеченная и, вероятно, связанная с ними реализация называется KoiVM Loader). Несмотря на популярность хакерских инструментов, использование виртуализации KoiVM не часто рассматривается как метод обфускации, используемый субъектами киберпреступных угроз.
Среди полезных нагрузок, распространяемых загрузчиками MalVirt, SentinelLabs обнаружила вредоносную программу Infostealer семейства Formbook в рамках продолжающейся на момент написания статьи кампании. Распространение этого вредоносного ПО через загрузчики MalVirt характеризуется необычным количеством применяемых методов антианализа и антиобнаружения.
Indicators of Compromise
Domains
- 365heji.com
- allspaceinfo.com
- baldur-power.com
- carlosaranguiz.dev
- cistonewhobeliev.xyz
- femfirst.co.uk
- graciesvoice.info
- h3lpr3.store
- headzees.com
- heji88.hj-88.com
- huifeng-tech.com
- iidethakur.xyz
- in-snoqualmievalley.com
- kajainterior.com
- ohotechnologies.com
- popimart.xyz
- togsfortoads.com
SHA1
- 15db79699dcef4eb5d731108aad6f97b2dc0ec9c
- 51582417d24ea3feebf441b8047e61cbe1ba2bf4
- 8c2136e83f9526d3c44c0bb0bccc6cf242702b16