02/05/23
Исследователей Trend Micro несколько дней назад опубликовали довольно подробный отчёт, посвящённый новой версии вредоносного программного обеспечения ViperSoftX, которое теперь нацелено на ещё большее количество криптовалютных кошельков, чем раньше. Кроме того, вредонос теперь нацелен в том числе и на популярные менеджеры паролей. Последняя версия инфостилера также отличается более надёжным шифрованием кода и функциями, позволяющими избежать обнаружения программным обеспечением безопасности. Об этом пишет Securitylab.
ViperSoftX — это вредоносное ПО для кражи информации, которое похищает различные данные с зараженных компьютеров. Впервые вредонос был задокументирован в 2020 году как троян удалённого доступа (RAT) на основе JavaScript, способный похищать криптовалюту своих жертв.
Из более ранних исследований специалистов кибербезопасности известно, что вредоносное ПО способно устанавливать вредоносное расширение под названием VenomSoftX в браузеры на основе Chromium. Однако в последней версии инфостилера, проанализированной Trend Micro, целевые браузеры теперь также включают Brave, Edge, Opera и Firefox.
Ранее исследователи Avast заявляли, что в период с января по ноябрь 2022 года они обнаружили и остановили порядка 90 тысяч атак на своих клиентов, проживающих преимущественно в США, Италии, Бразилии и Индии. Но на этой неделе уже специалисты Trend Micro сообщили , что ViperSoftX нацелен как на потребительский, так и на корпоративный сектор. Причём на Австралию, Японию, США, Индию, Тайвань, Малайзию, Францию и Италию приходится более 50% обнаруженной зловредной активности.
По наблюдениям аналитиков, вредоносное ПО обычно распространяется в виде программных «кряков», активаторов или генераторов ключей, скрывающихся в программном обеспечении, которое, как правило, выглядит безобидным.
В версии, задокументированной Avast в ноябре, VenomSoftX был нацелен на криптокошельки Blockchain, Binance, Kraken, eToro, Coinbase, Gate.io и Kucoin. Однако в последнем варианте Trend Micro заметила расширенную функциональность, способную красть криптовалюту также из следующих кошельков: Armory, Atomic Wallet, Binance, Bitcoin, Blockstream Green, Coinomi, Delta, Electrum, Exodus, Guarda, Jaxx Liberty, Ledger Live, Trezor Bridge, Coin98, Coinbase, MetaMask, Enkrypt.
Что особенно интересно, ViperSoftX теперь проверяет файлы, связанные с двумя популярными менеджерами паролей, а именно 1Password и KeePass, пытаясь украсть данные, хранящиеся в браузерных расширениях этих сервисов.
В новой версии ViperSoftX также реализовано несколько функций защиты от обнаружения и повышения скрытности. Например, популярный нынче метод DLL Sideloading для выполнения вредоносной активности в контексте доверенного процесса.
Ещё последняя версия вредоносной программы использует «байтовое отображение» для шифрования своего кода и перераспределение расположения байтов шелл-кода, чтобы сделать расшифровку и анализ без правильной байтовой карты (Bytemap) намного более сложной и трудоемкой.
Наконец, ViperSoftX теперь предлагает новый блокировщик связи в веб-браузерах, усложняющий анализ C2-инфраструктуры и обнаружение вредоносного трафика.
Как видно, программное обеспечение активно развивается, существенно расширяя свой функционал и область действия с каждым новым обновлением. Хоть Россия и не указана в списке пострадавших от вредоноса, всё же стоит лишний раз перестраховаться и как минимум не скачивать подозрительные файлы с малоизвестных сайтов, чтобы избежать возможного заражения этим или другим зловредным ПО.
