Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

На теневых форумах замечены новые образцы вредоносного ПО на базе PowerShell

06/06/25

premium_photo-1661963874418-df1110ee39c1

Это модернизированная версия известного похитителя данных ViperSoftX. Новая модификация 2025 года демонстрирует серьёзный технический скачок по сравнению с предыдущими вариантами, выпущенными в 2024 году. Повышенная модульность, скрытность и стойкость к удалению делают её особенно опасной как для пользователей криптовалют, так и для корпоративных систем.

Анализ кода подтверждает , что зловред получил множество улучшений, направленных на повышение его живучести и усложнение обнаружения. Его архитектура стала более гибкой и динамичной, а весь жизненный цикл тщательно продуман — от инициализации до взаимодействия с командным сервером, пишет Securitylab.

В новой версии серьёзно переработан процесс запуска. В отличие от варианта 2024 года, где использовалась простая задержка в 10 секунд и статический мьютекс, обновлённая сборка применяет GUID-идентификатор для исключения повторного запуска и увеличивает паузу до 300 секунд. Это не только предотвращает параллельное выполнение нескольких экземпляров, но и снижает вероятность выявления в песочницах и системах поведенческого анализа.

Для сетевой маскировки внедрён переход с устаревшего компонента System.Net.WebClient на более современный HttpClient, что позволяет манипулировать HTTP-заголовками и поддерживать защищённые HTTPS-соединения, имитируя поведение легитимного ПО. Кроме того, передача данных между заражённым хостом и командным сервером теперь шифруется при помощи простого XOR-алгоритма с ключом 65, а не отправляется в открытом виде или base64, как раньше. Такой подход затрудняет анализ сетевого трафика и позволяет обходить стандартные системы обнаружения.

Механизмы закрепления в системе стали заметно надёжнее. В то время как в 2024 году ViperSoftX часто полагался на внешние загрузчики, нынешний вариант включает сразу три резервных метода для переживания перезагрузки. Создаётся задача планировщика под видом системной — «WindowsUpdateTask», также добавляется ключ автозагрузки в реестр HKCU и скрытый BAT-файл в папке автозагрузки пользователя. Сам скрипт копируется в незаметный путь «AppData\Microsoft\Windows\Config\winconfig.ps1» и маскируется в процессе установки.

Функциональность вредоносного кода также значительно расширилась. Помимо банального сбора данных, теперь он нацелен на множество криптовалютных кошельков , включая Exodus, Atomic, Electrum и Ledger. Под удар также попали расширения браузеров для работы с криптовалютами — MetaMask, Binance и Coinbase — а также конфигурационные файлы KeePass.

Дополнительно вредоносный код запрашивает IP-адрес жертвы через серию резервных внешних сервисов, чтобы использовать эти данные для геолокации и привязки к конкретной кампании. В предыдущих версиях подобного механизма не наблюдалось.

Модульная структура стала ещё более изощрённой: функции наподобие Get-ServerID и Test-ServerRestarted позволяют вредоносному ПО отслеживать смену C2-инфраструктуры и автоматически восстанавливать соединение, если сервер переехал или был перезапущен. Это приближает зловред к уровню инструментов, используемых в профессиональных целевых атаках.

Темы:УгрозыPowershellхакерские форумы
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...