El malware ViperSoftX se dirige a usuarios de Windows
Los investigadores en ciberseguridad han lanzado una advertencia sobre ViperSoftX, un virus que roba información y que ha infectado a un gran número de personas y empresas que utilizan Windows.
Según Trend Micro, el virus se descubrió originalmente en 2020 y emplea tácticas avanzadas de cifrado y antianálisis, como la reasignación de bytes y el bloqueo de conexiones a navegadores web. Emplea aplicaciones no maliciosas como editores multimedia y apps de limpieza del sistema como "portadores" para penetrar en los ordenadores de sus víctimas, como cracks de software o generadores de claves.
El virus es un troyano de acceso remoto basado en JavaScript y ladrón de bitcoins que se hizo prominente antes de finales de 2019 y sigue activo en el momento de escribir este artículo. Antes de ejecutar su carga útil, el virus utiliza métodos de descifrado AES, conversión de matrices de caracteres y descifrado UTF8 para desentrañar ocho niveles de ofuscación de código.
Aunque ViperSoftX se suele ver como un crack, activador, parcheador o generador de claves de software, también se hace pasar por editores multimedia, conversores de formatos de vídeo, aplicaciones de minería de criptomonedas, aplicaciones de escritorio relacionadas con el teléfono y aplicaciones de limpieza del sistema. Los atacantes utilizan estos archivos como "portadores" del virus principal, que está cifrado dentro de la capa superpuesta.
Justo antes de descargar un cargador PowerShell de primera fase, que posteriormente ejecuta un script PowerShell de segunda fase, ejecuta una serie de comprobaciones antimáquina virtual, antimonitorización y antimalware. Esto inicia el procedimiento principal, que instala extensiones de navegador falsas para robar contraseñas e información de monederos de criptomonedas.
A continuación, se dirige a navegadores en línea comunes, y sus principales servidores de comando y control (C&C) utilizados para la descarga de la segunda etapa varían mensualmente, lo que indica que los atacantes intentan evitar ser detectados. También busca gestores de contraseñas como KeePass 2 y 1Password.
Don Ovidio Ladores, analista de Trend Micro, afirmó que los delincuentes detrás de ViperSoftX eran muy hábiles a la hora de completar una cadena impecable para la ejecución del malware mientras permanecían bajo el radar de las autoridades. Mientras tanto, Fortinet, una empresa de ciberseguridad, ha detectado y bloqueado malware malicioso altamente ofuscado en un gran entorno de OT.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.