На теневых форумах замечены новые образцы вредоносного ПО на базе PowerShell
06/06/25
Это модернизированная версия известного похитителя данных ViperSoftX. Новая модификация 2025 года демонстрирует серьёзный технический скачок по сравнению с предыдущими вариантами, выпущенными в 2024 году. Повышенная модульность, скрытность и стойкость к удалению делают её особенно опасной как для пользователей криптовалют, так и для корпоративных систем.
Анализ кода подтверждает , что зловред получил множество улучшений, направленных на повышение его живучести и усложнение обнаружения. Его архитектура стала более гибкой и динамичной, а весь жизненный цикл тщательно продуман — от инициализации до взаимодействия с командным сервером, пишет Securitylab.
В новой версии серьёзно переработан процесс запуска. В отличие от варианта 2024 года, где использовалась простая задержка в 10 секунд и статический мьютекс, обновлённая сборка применяет GUID-идентификатор для исключения повторного запуска и увеличивает паузу до 300 секунд. Это не только предотвращает параллельное выполнение нескольких экземпляров, но и снижает вероятность выявления в песочницах и системах поведенческого анализа.
Для сетевой маскировки внедрён переход с устаревшего компонента System.Net.WebClient на более современный HttpClient, что позволяет манипулировать HTTP-заголовками и поддерживать защищённые HTTPS-соединения, имитируя поведение легитимного ПО. Кроме того, передача данных между заражённым хостом и командным сервером теперь шифруется при помощи простого XOR-алгоритма с ключом 65, а не отправляется в открытом виде или base64, как раньше. Такой подход затрудняет анализ сетевого трафика и позволяет обходить стандартные системы обнаружения.
Механизмы закрепления в системе стали заметно надёжнее. В то время как в 2024 году ViperSoftX часто полагался на внешние загрузчики, нынешний вариант включает сразу три резервных метода для переживания перезагрузки. Создаётся задача планировщика под видом системной — «WindowsUpdateTask», также добавляется ключ автозагрузки в реестр HKCU и скрытый BAT-файл в папке автозагрузки пользователя. Сам скрипт копируется в незаметный путь «AppData\Microsoft\Windows\Config\winconfig.ps1» и маскируется в процессе установки.
Функциональность вредоносного кода также значительно расширилась. Помимо банального сбора данных, теперь он нацелен на множество криптовалютных кошельков , включая Exodus, Atomic, Electrum и Ledger. Под удар также попали расширения браузеров для работы с криптовалютами — MetaMask, Binance и Coinbase — а также конфигурационные файлы KeePass.
Дополнительно вредоносный код запрашивает IP-адрес жертвы через серию резервных внешних сервисов, чтобы использовать эти данные для геолокации и привязки к конкретной кампании. В предыдущих версиях подобного механизма не наблюдалось.
Модульная структура стала ещё более изощрённой: функции наподобие Get-ServerID и Test-ServerRestarted позволяют вредоносному ПО отслеживать смену C2-инфраструктуры и автоматически восстанавливать соединение, если сервер переехал или был перезапущен. Это приближает зловред к уровню инструментов, используемых в профессиональных целевых атаках.