Впервые о ViperSoftX было сообщено в Twitter в 2020 году, и в том же году - компанией Fortinet. Некоторые аспекты ViperSoftX также были описаны ранее Колином Кови. Однако с тех пор он подвергся очень интенсивной разработке, которая усилилась в течение 2022 года. Постоянная игра авторов вредоносного ПО в прятки, в которой они постоянно совершенствуют свои стратегии и методы, чтобы избежать обнаружения, не подает признаков прекращения. Поэтому мы решили собрать все части воедино, чтобы представить всесторонний анализ.
Этот многоступенчатый похититель демонстрирует интересные возможности сокрытия, скрываясь в виде небольших сценариев PowerShell на одной строке в середине невинно выглядящих больших файлов журналов, среди прочего. ViperSoftX фокусируется на краже криптовалют, подмене буфера обмена, снятии отпечатков пальцев с зараженной машины, а также загрузке и выполнении произвольных дополнительных полезных нагрузок или выполнении команд.
Одной из полезных нагрузок, распространяемых ViperSoftX, является специфический похититель информации в виде расширения браузера для браузеров на базе Chromium. Из-за его автономных возможностей и уникальности мы решили дать ему собственное имя - VenomSoftX. Вредоносное расширение предоставляет полный доступ к каждой странице, которую посещает жертва, осуществляет атаки типа "человек в браузере" для подмены криптовалютных адресов путем подмены данных API-запросов на популярных криптовалютных биржах, крадет учетные данные и содержимое буфера обмена, подменяет криптоадреса на посещаемых сайтах, сообщает о событиях с помощью MQTT на C&C-сервер и многое другое.
ViperSoftX в основном распространяется через взломанное программное обеспечение, такое как Adobe Illustrator, Corel Video Studio, Microsoft Office и многое другое, обычно распространяемое через торренты.
Indicators of Compromise
Domains
- api.private-chatting.com
- apps-analyser.com
- wmail-blog.com
- wmail-service.com
SHA256
- 0bad2617ddb7586637ad81aaa32912b78497daf1f69eb9eb7385917b2c8701c2
- 0cb5c69e8e85f44725105432de551090b28530be8948cc730e4b0d901748ff6f
- 0de9a23f88b9b7bda3da989dce7ad014112d88100dceaabca072d6672522be26
- 1d6845c7b92d6eb70464a35b6075365872c0ae40890133f4d7dd17ea066f8481
- 23b9075dac7dbf712732bb81ecd2c21259f384eb79ae8fdebe29b7c5a12d0519
- 3fe448df20c8474730415f07d05bef3011486ec1e070c67683c5034ec76a2fcb
- 4da1352e3415faa393e4d088b5d54d501c8d2a9be9af1362ca5cc0a799204b37
- 5c5202ed975d6647bd157ea494d0a09aac41d686bcf39b16a870422fa77a9add
- 705deecbbb6fd4855df3de254057c90150255c947b0fb985ea1e0f923f75a95f
- 7107ab14a1760c6dccd25bf5e22221134a23401595d10c707f023f8ca5f1b854
- 7b75c1150ef10294c5b9005dbcd2ee6795423ec20c512eb16c8379b6360b6c98
- 947215a1c401522d654e1d1d241e4c8ee44217dacd093b814e7f38d4c9db0289
- d7dfc84af13f49e2a242f60804b70f82efff7680cddf07f412667f998143fe9c
- ddee23e2bfd6b9d57569076029371e6e686b801131b6b503e7444359d9d8d813
- e1dc058fc8282acb95648c1ee6b0bc36b0d6b5e6853d4f602df5549e67d6d11a