Группа хакеров, использующих вредоносную программу ViperSoftX, расширила свой арсенал, добавив к традиционным функциям кражи криптовалютных кошельков майнер для добычи Monero. Об этом сообщили аналитики AhnLab Security Intelligence Center (ASEC), отслеживающие деятельность данной преступной группировки с 2020 года.
Описание
ViperSoftX представляет собой сложное вредоносное ПО, сочетающее возможности удаленного администрирования (RAT) и специализированные функции для атак на пользователей криптовалют. Первоначально обнаруженный экспертами Fortinet, зловред постоянно эволюционирует. В 2022 году Avast зафиксировал переход с JavaScript на PowerShell-скрипты, что значительно повысило скрытность и эффективность атак. Тогда же появились функции мониторинга буфера обмена и установки дополнительных полезных нагрузок.
Особенностью последних кампаний стало использование легитимного ПО в качестве приманки. Злоумышленники активно распространяют ViperSoftX через взломанные версии коммерческого программного обеспечения, ключи активации и электронные книги на торрент-трекерах. При этом в 2023 году TrendMicro обнаружила новую функцию - проверку наличия на зараженном компьютере менеджеров паролей KeePass и 1Password.
Технический анализ показал, что инфраструктура ViperSoftX остается практически неизменной на протяжении лет. Для связи с командными серверами используется алгоритм генерации доменных имен (DGA) и злоупотребление DNS-записями типа TXT. Это позволяет преступникам гибко менять каналы управления, оставаясь незамеченными.
После проникновения в систему ViperSoftX демонстрирует многостадийность. Первоначальный скрипт расшифровывается из определенного смещения в файле-носителе или из реестра Windows. Затем основной модуль получает возможность выполнять команды, загружать дополнительные вредоносные программы и отслеживать криптовалютные операции.
Ключевой новинкой в арсенале группировки стал майнер Monero на базе XMRig. Аналитики обнаружили в конфигурационных данных зловреда параметры, характерные для скрытого майнинга. Следовательно, атаки теперь преследуют двойную цель: кражу средств и неавторизованное использование вычислительных ресурсов жертв.
Параллельно с ViperSoftX активно используются другие инструменты. QuasarRAT, открытый проект удаленного администрирования, предоставляет полный контроль над системой. Более современный PureRAT (также известный как PureHVNC) предлагает расширенный функционал, включая виртуальные сетевые соединения и перехват ввода. Особую опасность представляет ClipBanker - специализированный модуль для подмены криптовалютных адресов в буфере обмена.
Эксперты отмечают рост сложности всего инфекционного цикла. Например, для анализа графических данных злоумышленники применяют TesseractStealer - модификацию открытой библиотеки оптического распознавания символов. Этот инструмент используется для поиска и кражи seed-фраз, приватных ключей и другой конфиденциальной информации.
Статистика показывает глобальный характер угрозы. Преступники не выделяют конкретные регионы или отрасли, атакуя пользователей по всему миру. При этом домашние компьютеры и рабочие станции малого бизнеса остаются наиболее уязвимыми целями из-за слабой защищенности.
Защита от подобных атак требует комплексного подхода. Специалисты рекомендуют избегать неофициальных источников программного обеспечения, особенно взломанных версий и ключей активации. Регулярное обновление операционной системы и приложений закрывает известные уязвимости. Кроме того, использование современных антивирусных решений с функциями поведенческого анализа помогает обнаруживать подозрительную активность.
Особое внимание следует уделять признакам скрытого майнинга. Необъяснимо высокая загрузка процессора, повышенное энергопотребление и замедление работы системы могут указывать на присутствие зловреда. В корпоративной среде эффективным решением становятся системы обнаружения вторжений (IDS), анализирующие сетевую активность.
Кибербезопасность криптовалютных активов требует отдельных мер. Эксперты советуют использовать аппаратные кошельки для хранения значительных сумм. При работе с программными кошельками необходимо проверять адреса получателя через несколько источников. Кроме того, важно применять менеджеры паролей и двухфакторную аутентификацию.
Постоянное совершенствование ViperSoftX демонстрирует растущую профессионализацию киберпреступников. Сочетание кражи финансовых данных с неавторизованным майнингом делает эту угрозу особенно опасной. Следовательно, пользователям и организациям необходимо повышать осведомленность о современных рисках и внедрять многоуровневую защиту.
Индикаторы компрометации
IPv4
- 154.12.226.43
- 154.53.50.145
- 173.212.222.201
- 212.56.35.232
- 5.189.132.160
Domains
- anydesks.duckdns.org
- f4re1a.com
- mac-m4.duckdns.org
- newsystemgame.com
- silkroadf.com
URLs
- http://154.12.226.43/1.exe
- http://154.12.226.43/2.EXE
- http://154.12.226.43/505.exe
- http://154.12.226.43/data.ps1
- http://154.12.226.43/install.exe
MD5
- 190428ff1eb4d6127185ac0ae7452779
- 1aa27271f4adcc341fc399b6a59315d8
- 23e2b61f244d3be4852d5d20024aac94
- 280b7800c8f94b80f2b2a3899d69bcb8
- 2aecc76068ef88db7fe8ab0f56c8cca7
