SvchostVNCInjector

Exportación de reflectanteLoader + DLL x64 inyectando svchost.exe con módulo VNC (Vnc_MT). Se ejecuta a través de la función de exportación MapDLL. svchost.exe se encuentra con CreateToolhelp32Snapshot y la DLL se carga en la memoria con CreateFileMappingW + MapViewOfFile. Cobalt Strike se parece a la arquitectura BOF. Implante que proporciona acceso a escritorio remoto (VNC).

Perfil de amenaza
Tipo RAT
Lenguaje de programaciónC/C++
Protocolo C2custom
Primera detección2024
Objetivos Kurumsal
Propósito / Capacidades
  • Escritorio remoto/Inyección de procesos/VNC
Aún no se han identificado servidores C2 para esta familia.

Informes de investigación (1)

Crítico

SvchostVNCInjector 16278643 -- ReflectiveLoader MapDLL VncMT svchost-inject CreateToolhelp32Snapshot Process32FirstW CreateFileMappingW MapViewOfFile IsWow64Process | Kritik

SvchostVNCInjector out.dll 439KB. Export: SvchostInjector.x64.dll::MapDLL. ReflectiveLoader. Vnc_MT. CreateToolhelp32Snapshot svchost.exe. MapViewOfFile. Cobalt Strike BOF benzeri.

Leer informe →