Le logiciel malveillant ViperSoftX cible les utilisateurs de Windows
Des chercheurs en cybersécurité ont lancé un avertissement concernant ViperSoftX, un virus voleur d'informations qui a infecté un grand nombre de personnes et d'entreprises utilisant Windows.
Selon Trend Micro, le virus a été découvert en 2020 et utilise des tactiques avancées de chiffrement et d'anti-analyse telles que le remappage d'octets et le blocage de la connexion au navigateur web. Il utilise des applications non malveillantes telles que des éditeurs multimédias et des applications de nettoyage du système comme "supports" pour pénétrer dans les ordinateurs de ses victimes, comme des cracks de logiciels ou des générateurs de clés.
Le virus est un cheval de Troie d'accès à distance basé sur JavaScript et un voleur de bitcoins qui est devenu proéminent avant la fin de 2019 et qui est toujours actif au moment de la rédaction de cet article. Avant d'exécuter sa charge utile, le virus utilise le déchiffrement AES, la conversion de tableaux de caractères et les méthodes de décodage UTF8 pour démêler huit niveaux d'obscurcissement du code.
Si ViperSoftX se présente le plus souvent comme un crack, un activateur, un patcheur ou un générateur de clés, il se fait également passer pour un éditeur multimédia, un convertisseur de format vidéo, un monnayeur de crypto-monnaies, une application de bureau liée à un téléphone ou encore une application de nettoyage du système. Ces fichiers sont utilisés par les attaquants comme "supports" pour le virus principal, qui est crypté dans la superposition.
Juste avant de télécharger un chargeur PowerShell de première étape, qui exécute ensuite un script PowerShell de deuxième étape, il exécute une série de contrôles anti-machines virtuelles, anti-monitoring et anti-malware. Cela lance la procédure principale, qui installe des extensions de navigateur malveillantes pour voler les mots de passe et les informations des portefeuilles de crypto-monnaies.
Il cible ensuite les navigateurs en ligne les plus courants, et ses principaux serveurs de commande et de contrôle (C&C) utilisés pour la deuxième phase de téléchargement varient tous les mois, ce qui indique que les attaquants tentent d'éviter d'être détectés. Il recherche également des gestionnaires de mots de passe tels que KeePass 2 et 1Password.
Don Ovid Ladores, analyste chez Trend Micro, a déclaré que les escrocs à l'origine de ViperSoftX étaient très compétents pour réaliser une chaîne sans faille d'exécution de logiciels malveillants tout en restant sous le radar des autorités. De son côté, Fortinet, une entreprise de cybersécurité, a détecté et bloqué des logiciels malveillants hautement obscurcis dans un environnement OT de grande envergure.
Les sources de cet article comprennent un article de TheHackerNews.