يتم استخدام حاقن البرامج الضارة .NET المكتشف حديثًا لتقديم مجموعات مختلفة من البرامج الضارة ، والتي تتعلق بشكل أساسي بالمخترقين و RATs و Loaders و Downloaders. تم الكشف عن المعلومات العامة حول هذا التهديد ، التي يطلق عليها اسم dotRunpeX ، لأول مرة في أكتوبر 2022 وحتى الآن لها نسختان.
بناءً على تجميع الطوابع الزمنية ، برز البرنامج الضار بين نوفمبر 2022 ويناير 2023.
- سُجل أكبر عدد من الهجمات في كانون الأول (ديسمبر) 2022.
- مع استمرار تطور حاقن البرامج الضارة ، لاحظ الباحثون استخدامه في المرحلة الثانية من سلسلة العدوى في عشرات الحملات.
- تستفيد البرامج الضارة من تقنية تفريغ العملية لإخفاء وجودها أثناء عملية الإصابة.
يتم تسليم أدوات تحميل المرحلة الأولى بشكل أساسي عبر رسائل البريد الإلكتروني المخادعة التي تحتوي على مرفقات ضارة في شكل ملفات .iso أو .img أو .zip أو .7z.
- لخداع الضحايا ، تتظاهر رسائل البريد الإلكتروني بأنها معلومات معاملات من أحد البنوك ، ويمكن الاطلاع عليها من خلال النقر على الملفات المرفقة.
- في بعض الحالات ، أساء ممثلو التهديد استخدام إعلانات Google للترويج لمواقع ويب مزيفة تتنكر في شكل أدوات مساعدة برامج عادية مثل Galaxy Swapper و OBS Studio و Onion Browser و Brave Wallet و LastPass و AnyDesk و MSI Afterburner.
- يؤدي النقر فوق هذه المواقع المزيفة إلى تنزيل حاقن dotRunpeX الذي ينشر برامج ضارة مختلفة.
- من بين البرامج الضارة التي تقدمها dotRunpeX تشمل AgentTesla و ArrowRAT و AsyncRAT و AveMaria و BitRAT و Formbook و Lokibot و NetWire و PrivateLoader و LgoogLoader و QuasarRAT و Remcos و Vidar وغيرها.
مع استمرار باحثي Check Point في مراقبة تطور حاقن البرامج الضارة ، يجب على المنظمات اتخاذ إجراءات من جانبها عن طريق حظر بطاقات IOC المرتبطة بـ dotRunpeX. بالإضافة إلى ذلك ، من المستحسن أن يكون لديك بوابات بريد إلكتروني آمنة للتحقق من رسائل البريد الإلكتروني الواردة والصادرة والداخلية من هجمات التصيد الاحتيالي.