ViperSoftX Stealer IOCs - Part 4

Spyware

ViperSoftX - это сложная вредоносная программа, которая проникает в системы и получает конфиденциальную информацию. Версии ViperSoftX становятся все сложнее и получают новые возможности. Он распространяется через взломанное программное обеспечение и теперь также распространяется в виде электронных книг через торренты. Отличительной чертой текущей версии ViperSoftX является использование Common Language Runtime (CLR) для выполнения команд PowerShell, что помогает ему избегать обнаружения. ViperSoftX также использует стратегию повторного использования компонентов из наступательных сценариев безопасности для скрытия своих действий.

Процесс заражения ViperSoftX начинается с того, что пользователи загружают электронную книгу через вредоносную торрент-ссылку. Внутри загруженных RAR-файлов скрываются угрозы, включая скрытую папку, файлик быстрого доступа, который выглядит как безобидный PDF, скрипты PowerShell и AutoIt, притворяющиеся JPG-файлами. Когда пользователь запускает файл-ярлык, он выполнит команды в Командной строке, используя скрытый код PowerShell.

Код PowerShell внутри файла "zz1Cover4.jpg" выполняет несколько действий, включая разблокирование скрытой папки, создание задач в планировщике заданий Windows и копирование файлов в определенные директории. Злоумышленники также тщательно обфусцируют свои скрипты, что затрудняет их расшифровку и исследование. Дальнейший анализ кода ViperSoftX позволяет получить более глубокое понимание его функциональности и методов работы.

Indicators of Compromise

URLs

  • https://borcano.org/connect
  • https://security-microsoft.com/connect

SHA256

  • 07ee16f72b1dd81e7cf79aa1396f44f3ed29d343dd8fa0c6aecf1bb3d36d4e34
  • 10e1dbb3c19c6a3b905434cae98fe0c6d4e68a8d9bcd316175160efd834a2d23
  • 1177fb1b6b4a6ac1cd75c0f0784bb87a3202c70fe748bf5bc7fd0dd0fd41169b
  • 2526a840c91d03c804a8f73cc35a9a993f4dcddf12950566c419a8addf52fd39
  • 2b807f42e32684768fa5e514ee0674836f3774ec83e73fc0be0afde34f8ee11c
  • 39e0199d3d501acc3377af56c4e79ec4c4f8aaa21ac1a449fe8da69c4c267dd7
  • 3d5d95b4e51ce5b7597c3f2b8da50951bd8152493e3ea27f0b8f7ab32596a526
  • 4ab0bc4c0841cf65f6c78356327337cdea436e1c1d008e8e0a5f5e400aaed39c
  • 4d365958397af1b7c2c62f62d21b35b948c03dd17f730a58b6145cd003a7922c
  • 594948597aae36cd9fcf30dec7ef1be70bc70ee618f0e33dd8268c12982da7c9
  • 655afdb9fc4ab05875c790c22e505b4eda3492323631ed3c951b4fe60806770a
  • 7701e4bf5074f0527c0126fff1dbd0e6368ddb7d0131bac1fba72b19511af127
  • 829a3a3525fae23ea0e56a0049b9ba56f9a061315d023940defb00661a74b767
  • 87982fe34bfcb26fd06714e0bb4c3341dfaa66b51e918fcf048554be60d29307
  • 87d809543079ae5770b6cdc1849e7be55dec1a37c3f90ea63a5d5f5a2b3d4c32
  • 8af9b0cdb301febc64ac05b8acb701d0f1b6f88cc22a4c83929078d04bfca657
  • 96a1666152dfe5cc4113b855a059195227f55773d8ad46cc92fe5090010035f1
  • 9b5869e4d37894571923607dce7c23a324ae2f93820384b99aefe619a7fa3fad
  • a544293ad41861129c77aaaea1620b884982378721bed31c60702b3e3d3c1590
  • acf98f0c2b3823f9213b220fcd79237037d0d3f087a3faa4f10ea6d147a9f059
  • de05f6f97b475ed6464541665e59252869b5d531c63698a9ad70c3875954c92c
  • f2503068aa274eb6c73dfd1a31c7e878f84f3fb60f3ae23f001bb143eb6f196f
  • f30aeb1877ddd30c0d2b79c78bffa7f990df56d37dd78ab0d5c563db02b1ab37
  • f83a0b46b9d424d338342b509d9e12b467d25f400db62dc57815db33b1b26feb
  • f8ef5f403474624e61ef0b83adc9e15ea6ca47534f7316c4c43db6f064e21c76
Комментарии: 0