В начале 2025 года в подпольных форумах и сообществах кибербезопасности появились новые образцы вредоносного ПО на основе PowerShell. Анализ показал, что это эволюционировавшая версия ViperSoftX - известного стилера данных, который активно использовался в 2024 году. Однако теперь зловред обладает более сложной модульной архитектурой, улучшенными механизмами скрытности и устойчивости в системе.
Описание
Одним из ключевых изменений стал механизм инициализации. Если в 2024 году ViperSoftX использовал статический мьютекс с задержкой в 10 секунд, то теперь применяется GUID-идентификатор с увеличением времени ожидания до 300 секунд. Это усложняет детектирование в песочницах и снижает вероятность срабатывания поведенческого анализа.
Для обеспечения устойчивости в системе зловред применяет многоуровневую стратегию: создает задание в планировщике задач (WindowsUpdateTask), добавляет себя в автозагрузку через реестр (HKCU) и размещает скрипт в папке Startup. Кроме того, он копирует себя в скрытую директорию AppData, что делает его удаление более сложным.
Новая версия ViperSoftX также получила улучшенные функции сбора данных. В отличие от прошлогоднего варианта, который использовал серийные номера оборудования для идентификации жертвы, теперь генерируется 64-символьный GUID. Это позволяет злоумышленникам точнее отслеживать зараженные устройства. Дополнительно вредонос собирает публичный IP-адрес через несколько веб-сервисов, что помогает атакующим определять географическое положение жертвы.
Особое внимание стоит уделить механизму взаимодействия с командным сервером (C2). Если раньше команды передавались в открытом или base64-кодированном виде, то теперь используется XOR-шифрование с ключом 65. Это усложняет анализ трафика и обход систем обнаружения вторжений. Кроме того, зловред проверяет состояние сервера каждые 30 секунд и при необходимости переинициализирует сессию, что свидетельствует о высокой адаптивности.
Среди целей кражи - данные криптокошельков (Exodus, Atomic, Electrum, Ledger), браузерные расширения (MetaMask, Binance, Coinbase) и конфигурации KeePass. Вредонос также собирает информацию об ОС, имени пользователя и установленных приложениях.
Исполнение вредоносных команд теперь происходит через фоновые задания PowerShell, что делает его менее заметным для средств защиты. В отличие от старой версии, где использовался cmd.exe, такой подход повышает стабильность и скрытность атаки.
Эксперты K7 Labs отмечают, что ViperSoftX 2025 демонстрирует признаки профессиональной разработки, характерной для сложных киберпреступных группировок. Улучшенная модульность и скрытность делают его серьезной угрозой, требующей повышенного внимания со стороны специалистов по безопасности.
Индикаторы компрометации
MD5
- 6549099fecff9d41f7df96402bccde9b
- feaa4ac1a1c51d1680b2ed73ff5da5f2
