AhnLab Security Intelligence Center (ASEC) обнаружил, что злоумышленники, использующие вредоносное ПО ViperSoftX, продолжают атаковать пользователей, в том числе в Южной Корее. Этот вирус остается активным в зараженной системе, выполняя команды злоумышленников или крадя данные, связанные с криптовалютами.
Описание
ViperSoftX распространяется через поддельные ключи активации и взломанные версии программного обеспечения. После заражения система подвергается постоянному мониторингу: злоумышленники могут загружать дополнительные вредоносные модули, включая Quasar RAT, PureCrypter и PureHVNC, которые дают полный контроль над устройством. Особую опасность представляет функция мониторинга буфера обмена - ViperSoftX ищет криптокошельки и заменяет адреса на свои, что приводит к перехвату транзакций.
Атака начинается с загрузки вредоносного PowerShell-скрипта, который регистрирует задачу в планировщике Windows для постоянной работы. ViperSoftX также собирает данные о браузерах, установленных программах и антивирусах, отправляя их на серверы злоумышленников. В последнее время злоумышленники стали чаще использовать PureCrypter и PureHVNC, что усложняет обнаружение угрозы.
Чтобы избежать заражения, пользователям следует избегать пиратского ПО, обновлять операционную систему и антивирусы, а также проверять адреса кошельков перед транзакциями. ViperSoftX остается серьезной угрозой для криптоинвесторов, и только осторожность и защитные меры помогут избежать потерь.
Индикаторы компрометации
IPv4
- 136.243.132.112
- 160.191.77.89
- 185.245.183.74
- 212.56.35.232
- 89.117.79.31
URLs
- http://136.243.132.112/ut.exe
- http://136.243.132.112:881/3.exe
- http://136.243.132.112:881/a.ps1
- http://136.243.132.112:881/APPDATA.exe
- http://136.243.132.112:881/firefoxtemp.exe
MD5
- 064b1e45016e8a49eba01878e41ecc37
- 0ed2d0579b60d9e923b439d8e74b53e1
- 0efe1a5d5f4066b7e9755ad89ee9470c
- 197ff9252dd5273e3e77ee07b37fd4dd
- 1ec4b69f3194bd647639e6b0fa5c7bb5
