dotrunpex - RunkIntel

# DotRunpeX > Tipo: **injector** · [MITRE ATT&CK](https://attack.mitre.org/software/) ## Descrição [[dotrunpex|DotRunpeX]] é um injetor de malware escrito em .NET, identificado pela Check Point Research em 2022, amplamente utilizado como distribuidor de múltiplas famílias de malware. O [[dotrunpex|DotRunpeX]] funciona como intermediário na cadeia de ataque: recebe um payload criptografado, o desofusca na memória e o injeta em processos legítimos do Windows via process hollowing, tornando a detecção do malware final muito mais difícil pois o código malicioso executa sob a cobertura de processos confiáveis do sistema. O [[dotrunpex|DotRunpeX]] implementa múltiplas camadas de proteção: empacotamento pesado com custom packer, verificações anti-sandbox e anti-debug baseadas em características do sistema, e desabilitação de ferramentas de segurança antes da injeção do payload. O malware utiliza a técnica de process hollowing ([[t1055-012-process-hollowing|T1055.012]]) para injetar payloads em processos legítimos como `aspnet_compiler.exe`, `notepad.exe` ou outros, fazendo com que o payload malicioso execute com a identidade e confiança do processo legítimo. O [[dotrunpex|DotRunpeX]] foi utilizado para distribuir um amplo espectro de malware final: [[redline|RedLine Stealer]], [[s1087-asyncrat|AsyncRAT]], [[xworm|XWorm]], [[s0331-agent-tesla|Agent Tesla]], [[s0514-formbook|Formbook]], [[s0447-lokibot|LokiBot]] e outros infostealers e RATs populares. Sua versatilidade como plataforma de entrega e as fortes capacidades de evasão tornam o DotRunpeX um componente valioso no ecossistema de malware-as-a-service, sendo anunciado em fóruns clandestinos como loader confiável para múltiplos payloads. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1055-012-process-hollowing|T1055.012 - Process Hollowing]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1059-001-powershell|T1059.001 - PowerShell]] ## Detecção - Detectar process hollowing - criação de processo filho em estado suspenso com substituição de código ([[t1055-012-process-hollowing|T1055.012]]) - Monitorar tentativas de desabilitar Windows Defender e outros AVs por processos não privilegiados ([[t1562-001-disable-or-modify-tools|T1562.001]]) - Identificar comportamentos anti-sandbox - consultas a número de processadores, RAM, histórico de uso ([[t1497-001-system-checks|T1497.001]]) - Alertar sobre processos legítimos (notepad.exe, aspnet_compiler.exe) fazendo conexões de rede suspeitas - Usar regras YARA para detectar strings e estruturas características do DotRunpeX .NET ## Relevância LATAM/Brasil O [[dotrunpex|DotRunpeX]] como distribuidor de [[redline|RedLine]], [[s0331-agent-tesla|Agent Tesla]] e [[s1087-asyncrat|AsyncRAT]] tem impacto direto no Brasil: essas três famílias estão entre as mais detectadas em campanhas contra empresas e usuários brasileiros. O modelo de loader-as-a-service facilita o acesso de grupos de cibercrime brasileiro a infostealers e RATs sofisticados sem necessidade de desenvolvimento próprio. A distribuição via phishing em português com o DotRunpeX como intermediário é um vetor crescente de comprometimento no Brasil, especialmente contra setores industriais e financeiros. ## Referências - [Check Point Research - DotRunpeX](https://research.checkpoint.com/2023/dotrunpex-demystifying-new-virtualized-net-injector-used-in-the-wild/) - [MITRE ATT&CK - T1055.012](https://attack.mitre.org/techniques/T1055/012/)