ViperSoftX-Malware zielt auf Windows-Benutzer
Cybersecurity-Forscher haben eine Warnung vor ViperSoftX herausgegeben, einem Virus, der Informationen stiehlt und eine große Anzahl von Menschen und Unternehmen infiziert hat, die Windows verwenden.
Laut Trend Micro wurde der Virus ursprünglich im Jahr 2020 entdeckt und verwendet fortschrittliche Verschlüsselungs- und Anti-Analyse-Taktiken wie Byte-Remapping und Blockieren von Webbrowser-Verbindungen. Er nutzt nicht bösartige Anwendungen wie Multimedia-Editoren und Systembereinigungs-Apps als "Träger", um in die Computer seiner Opfer einzudringen, z. B. Software-Cracks oder Schlüsselgeneratoren.
Bei dem Virus handelt es sich um einen JavaScript-basierten Remote-Access-Trojaner und Bitcoin-Stealer, der vor Ende 2019 bekannt wurde und zum Zeitpunkt der Erstellung dieses Artikels immer noch aktiv ist. Bevor er seine Nutzlast ausführt, verwendet der Virus AES-Entschlüsselung, die Konvertierung von Char-Arrays und UTF8-Dekodierungsmethoden, um acht Ebenen der Code-Verschleierung zu entschlüsseln.
ViperSoftX wird am häufigsten als Software-Crack, Aktivator, Patcher oder Schlüsselgenerator gesehen, aber er tarnt sich auch als Multimedia-Editor, Videoformatkonverter, Kryptowährungs-Münzsammel-App, telefonbezogene Desktop-App und Systemreinigungs-App. Diese Dateien werden von den Angreifern als "Träger" für den Hauptvirus verwendet, der im Overlay verschlüsselt ist.
Unmittelbar vor dem Herunterladen eines PowerShell-Loaders der ersten Stufe, der anschließend ein PowerShell-Skript der zweiten Stufe ausführt, werden verschiedene Überprüfungen zum Schutz vor virtuellen Maschinen, zur Überwachung und zum Schutz vor Malware durchgeführt. Damit beginnt die Hauptprozedur, die bösartige Browser-Erweiterungen installiert, um Passwörter und Kryptowährungs-Wallet-Informationen zu stehlen.
Anschließend zielt er auf gängige Online-Browser ab, und seine wichtigsten Command-and-Control-Server (C&C), die für die zweite Download-Phase verwendet werden, variieren monatlich, was darauf hindeutet, dass die Angreifer versuchen, eine Entdeckung zu vermeiden. Er sucht auch nach Passwort-Managern wie KeePass 2 und 1Password.
Don Ovid Ladores, Analyst bei Trend Micro, stellte fest, dass die Gauner hinter ViperSoftX sehr geschickt darin waren, eine makellose Kette für die Ausführung von Malware zu erstellen und dabei unter dem Radar der Behörden zu bleiben. In der Zwischenzeit hat das Cybersicherheitsunternehmen Fortinet stark verschleierte bösartige Malware in einer großen OT-Umgebung entdeckt und blockiert.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.