Аналитический центр AhnLab SEcurity (ASEC) обнаружил злоумышленников ViperSoftX, которые используют OCR-движок Tesseract для утечки файлов изображений пользователей. ViperSoftX является вредоносным программным обеспечением, которое размещается на зараженных системах и выполняет команды злоумышленников или крадет информацию, связанную с криптовалютами.
Вредоносная программа использует Tesseract, чтобы извлечь тексты из изображений, и если узнает фразы, связанные с паролями или адресами криптовалютных кошельков, она удаляет эти изображения. ViperSoftX является одним из штаммов вредоносного ПО, способных контролировать зараженные системы и крадет информацию. Он часто распространяется под видом кряков или кейгенов для легитимного ПО. Он также обновляется и устанавливает дополнительные штаммы вредоносного ПО, включая Quasar RAT и TesseractStealer.
ViperSoftX, распространяемый недавно, представляет собой новую итерацию этого вредоносного программного обеспечения. В отличие от предыдущих версий, последняя версия ViperSoftX использует PowerShell вместо JavaScript и расширяет свои возможности, добавляя функции, такие как смена буферов обмена и установка вредоносных браузерных расширений. Также обнаружено распространение ViperSoftX через Quasar RAT, который является вредоносной программой RAT с открытым исходным кодом, способной управлять зараженными системами и крадущей информацию.
Статья также указывает, что злоумышленники часто используют ViperSoftX для установки дополнительных вредоносных программ на зараженных системах в массовом порядке, а не на конкретные цели. В частности, замечено множество случаев установки Quasar RAT с помощью ViperSoftX. Quasar RAT, который также использует злоумышленников, имеет возможности удаленного контроля зараженных систем, сбора и кражи информации.
Таким образом, вредоносная программа ViperSoftX используется для извлечения файлов изображений пользователей с помощью Tesseract. Она также обновляется и используется для распространения других вредоносных программ, включая Quasar RAT. Эти вредоносные программы позволяют злоумышленникам контролировать и красть информацию с зараженных систем пользователей.
Indicators of Compromise
Domain Port Combinations
- bideo.duckdns.org:15
- bideo.duckdns.org:2
- bideo.duckdns.org:7
- mvps-remote.duckdns.org:103
- win32updates.duckdns.org:1
- x75tjpwatl2uyunijiq6jwqhlar3j5fkpi5optv7tfreijbpylwnnbqd.onion:8880
- youtubevideos.duckdns.org:5
URLs
- http://mysystemes.com:80/connect
- http://rooz2024.com/wfdfsgfsgdh/wfin.x
- http://xboxwindows.com/api/v1/
- https://22.rooz2024.workers.dev
- https://www.uplooder.net/f/tl/92/fd73d54c0013b987b9f3b66d839975d9/csrss.exe
MD5
- 06cba6b21f02f980f755da363dfc50a8
- 240766d7b6b936fad871ea1a7fefc141
- 3b20a80251740bb4443968cdd125b99d
- 4373f159c79da9ecf7a05b81868c3a97
- 4c96de9869538349c8daae65342ad94c
- 66bdc2d36d460fb25bb2114f770d5ade
- 6987e127bc6c12fcb9f1876e8ecf64d1
- 862d9a823ae99b9181b749ae66198bca
- bdd3d30ea4bc94d1240ea75f1aa212eb
- c00e53e8cbb5701157002091db4a2500
- c21b68dae810444cc013722e97b77802
- d9a4b64d20c6860f12b6da0ecd53983a
- f52616c47b243f3373248ed2a5f49e1c
- f9bb6ef02f29f52ff126279ff7d044bb
- fffb28442b89e1387b30a40cbb211570