Malware se disfarça de eBooks
10 de Julho de 2024

O sofisticado malware conhecido como ViperSoftX foi observado sendo distribuído como eBooks através de torrents.

"Um aspecto notável da variante atual do ViperSoftX é que ela utiliza o Common Language Runtime (CLR) para carregar e executar dinamicamente comandos PowerShell, criando assim um ambiente PowerShell dentro do AutoIt para operações", disseram os pesquisadores de segurança da Trellix, Mathanraj Thangaraju e Sijo Jacob.

Utilizando o CLR, o ViperSoftX consegue integrar de forma transparente a funcionalidade do PowerShell, permitindo que execute funções maliciosas enquanto evita mecanismos de detecção que poderiam identificar atividades do PowerShell executadas isoladamente.

Inicialmente detectado pela Fortinet em 2020, o ViperSoftX é conhecido por sua capacidade de exfiltrar informações sensíveis de hosts Windows comprometidos.

Ao longo dos anos, o malware tornou-se um exemplo relevante de como os atores de ameaças continuam inovando suas táticas na tentativa de permanecerem furtivos e contornarem as defesas.

Isso é exemplificado pelo aumento da complexidade e pela adoção de técnicas avançadas de anti-análise, como o remapeamento de bytes e o bloqueio de comunicação de navegadores web, conforme documentado pela Trend Micro em abril de 2023.

Tão recentemente quanto maio de 2024, campanhas maliciosas têm explorado o ViperSoftX como um veículo de entrega para distribuir Quasar RAT e outro ladrão de informações chamado TesseractStealer.

Cadeias de ataque que propagam o malware são conhecidas por empregar software crackeado e sites de torrent, mas a utilização de iscas de eBook é uma abordagem recém-observada.

Presente dentro do arquivo RAR do suposto eBook está uma pasta oculta, bem como um arquivo de atalho do Windows enganoso, que pretende ser um documento benigno.

Executar o arquivo de atalho inicia uma sequência de infecção em múltiplos estágios que começa com a extração de código PowerShell que revela a pasta oculta e configura a persistência no sistema para lançar um script AutoIt que, por sua vez, interage com o framework .NET CLR, para descriptografar e executar um segundo script PowerShell, que é o ViperSoftX.

"AutoIt não suporta, por padrão, o Common Language Runtime (CLR)," disseram os pesquisadores.

No entanto, as funções definidas pelo usuário (UDF) da linguagem oferecem um portal para a biblioteca CLR, concedendo aos atores maliciosos acesso às poderosas capacidades do PowerShell.

ViperSoftX coleta informações do sistema, vasculha por carteiras de criptomoedas via extensões de navegador, captura conteúdos da área de transferência e baixa dinamicamente e executa payloads e comandos adicionais com base em respostas recebidas de um servidor remoto.

Ele também vem com mecanismos de auto-deleção para desafiar a detecção.

"Uma das características marcantes do ViperSoftX é seu uso hábil do Common Language Runtime (CLR) para orquestrar operações PowerShell dentro do ambiente AutoIt," disseram os pesquisadores.

Essa integração permite a execução transparente de funções maliciosas ao mesmo tempo que evita mecanismos de detecção que geralmente identificariam atividades do PowerShell executadas isoladamente.

Além disso, a capacidade do ViperSoftX de corrigir a Interface de Verificação de Antimalware (AMSI) antes de executar scripts PowerShell sublinha sua determinação em contornar medidas de segurança tradicionais.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...