ViperSoftX aprimora técnicas de evasão
11 de Julho de 2024

As últimas variantes do malware ViperSoftX, especializado em roubo de informações, utilizam o common language runtime (CLR) para carregar e executar comandos PowerShell dentro de scripts AutoIt para evitar a detecção.

CLR é um componente chave do .NET Framework da Microsoft, atuando como motor de execução e ambiente de runtime para aplicações .NET.

O ViperSoftX utiliza o CLR para carregar código dentro do AutoIt, uma linguagem de script para automatizar tarefas no Windows que geralmente são confiáveis pelas soluções de segurança.

Além disso, pesquisadores descobriram que o desenvolvedor do malware incorporou scripts ofensivos modificados nas últimas versões para aumentar a sofisticação.

O ViperSoftX existe desde pelo menos 2020 e atualmente é distribuído em sites de torrent como ebooks que entregam arquivos RAR maliciosos com um arquivo de PDF ou ebook de isca, um arquivo de atalho (.LNK) e scripts PowerShell e AutoIT disfarçados de arquivos de imagem JPG.

Pesquisadores de malware da empresa de segurança cibernética Trellix dizem que a infecção começa quando as vítimas executam o arquivo .LNK.

Durante o processo, ele carrega o script PowerShell que oculta dentro de espaços em branco comandos que são automaticamente executados no Prompt de Comando.

O script PS move para o diretório %APPDATA%\Microsoft\Windows dois arquivos (zz1Cover2.jpg e zz1Cover3.jpg).

Um deles é o executável para AutoIt e renomeado para AutoIt3.exe.

Para manter a persistência, o mesmo script configura o Agendador de Tarefas para executar o AutoIt3.exe a cada cinco minutos após o usuário entrar.

Ao usar CLR para carregar e executar comandos PowerShell dentro do ambiente AutoIt, o ViperSoftX busca se misturar às atividades legítimas no sistema e evitar a detecção.

Isso é possível porque, apesar de o AutoIT não suportar .NET CLR nativamente, os usuários podem definir funções que permitem invocar comandos PowerShell indiretamente.

O ViperSoftX utiliza forte ofuscação em Base64 e criptografia AES para esconder os comandos nos scripts PowerShell tirados dos arquivos de imagem isca.

O malware também inclui uma função para modificar a memória da função da Antimalware Scan Interface (AMSI) ('AmsiScanBuffer') para contornar verificações de segurança nos scripts.

Para comunicação em rede, o ViperSoftX utiliza hostnames enganosos como ‘security-microsoft.com.

Para permanecer sob o radar, informações do sistema são codificadas no formato Base64 e os dados são entregues via uma requisição POST com um comprimento de conteúdo de “0”.

Ao fazer isso, o ator de ameaças tenta novamente evitar atenção devido à falta de conteúdo no corpo.

O objetivo do ViperSoftX é roubar os seguintes dados de sistemas comprometidos:

- Detalhes do sistema e hardware
- Dados de carteiras de criptomoedas de extensões de navegador como MetaMask, Ronin Wallet, entre outras
- Conteúdos da área de transferência

A Trellix diz que o ViperSoftX refinou suas táticas de evasão e tornou-se uma ameaça maior.

Integrando CLR para executar PowerShell dentro do AutoIt, o malware consegue executar funções maliciosas enquanto evita mecanismos de segurança que normalmente identificam atividade isolada de PowerShell.

Os pesquisadores descrevem o malware como uma ameaça moderna sofisticada e ágil que pode ser combatida com "uma estratégia de defesa abrangente que engloba capacidades de detecção, prevenção e resposta".

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...