Verblecon Malware
Details über eine neue mächtige Malware namens Verblecon wurden ans Licht gebracht. Der bedrohliche Stamm wurde erstmals im Januar 2022 von Forschern entdeckt. Ihren Erkenntnissen zufolge nutzt der Bedrohungsakteur, der die Verblecon-Malware derzeit als Teil seiner Angriffsoperationen verwendet, nur einen kleinen Teil der Fähigkeiten der Bedrohung. Obwohl Verblecon in der Lage ist, zahlreiche invasive Aktionen auf den verletzten Geräten durchzuführen, wurde Verblecon bisher in die Rolle eines Loaders verbannt, der Krypto-Mining-Nutzlasten liefert.
Technische Details
Die Verblecon-Malware basiert auf Java und ist polymorph. Das bedeutet, dass der Code der Payload der Bedrohung bei jedem Download anders aussieht. Solche ausgefeilten Techniken werden typischerweise von Bedrohungsakteuren eingesetzt, die an Cyberspionage beteiligt sind. Darüber hinaus sind der Codefluss, die Zeichenfolgen und Symbole der Bedrohung vollständig verschleiert, was Verbelcon extrem unauffällig macht.
Die Bedrohung führt auch mehrere Überprüfungen für Virtualisierungs- und Sandbox-Umgebungen durch. Es ruft eine Liste der derzeit laufenden Prozesse ab und vergleicht sie mit einer vorbestimmten Auswahl von Dateien, von denen bekannt ist, dass sie virtuellen Maschinensystemen zugeordnet sind. Wenn alle Überprüfungen bestanden sind, fährt die Bedrohung mit ihrer Ausführung fort, indem sie sich in ein lokales Verzeichnis wie %ProgramData% , %LOCALAPPDATA% und Users kopiert.
Verblecon wird regelmäßig versuchen, Kontakt mit einem Command-and-Control (C2)-Server herzustellen, um eine neue Nutzlast zu erhalten und bereitzustellen. Die Nutzlast wird mit ähnlichen Techniken verschleiert und überprüft die Umgebung auch auf Anzeichen einer Virtualisierung. Hauptaufgabe der Payload ist den Forschern zufolge das Herunterladen und Ausführen einer Binärdatei, die anschließend in %Windows%\SysWow64\dllhost.exe eingeschleust wird.
Wie bereits erwähnt, schöpfen die aktuellen Operationen, an denen Verblecon beteiligt ist, nicht die vollen Möglichkeiten der Bedrohung aus und beschränken sich darauf, hauptsächlich Krypto-Mining-Bedrohungen zu liefern. Es gibt auch Anzeichen dafür, dass die Angreifer daran interessiert sind, die Discord-Token der Opfer zu erhalten.
