As últimas variantes do malware ViperSoftX, especializado em roubo de informações, utilizam o common language runtime (CLR) para carregar e executar comandos PowerShell dentro de scripts AutoIt para evitar a detecção.
CLR é um componente chave do .NET Framework da Microsoft, atuando como motor de execução e ambiente de runtime para aplicações .NET.
O ViperSoftX utiliza o CLR para carregar código dentro do AutoIt, uma linguagem de script para automatizar tarefas no Windows que geralmente são confiáveis pelas soluções de segurança.
Além disso, pesquisadores descobriram que o desenvolvedor do malware incorporou scripts ofensivos modificados nas últimas versões para aumentar a sofisticação.
O ViperSoftX existe desde pelo menos 2020 e atualmente é distribuído em sites de torrent como ebooks que entregam arquivos RAR maliciosos com um arquivo de PDF ou ebook de isca, um arquivo de atalho (.LNK) e scripts PowerShell e AutoIT disfarçados de arquivos de imagem JPG.
Pesquisadores de malware da empresa de segurança cibernética Trellix dizem que a infecção começa quando as vítimas executam o arquivo .LNK.
Durante o processo, ele carrega o script PowerShell que oculta dentro de espaços em branco comandos que são automaticamente executados no Prompt de Comando.
O script PS move para o diretório %APPDATA%\Microsoft\Windows dois arquivos (zz1Cover2.jpg e zz1Cover3.jpg).
Um deles é o executável para AutoIt e renomeado para AutoIt3.exe.
Para manter a persistência, o mesmo script configura o Agendador de Tarefas para executar o AutoIt3.exe a cada cinco minutos após o usuário entrar.
Ao usar CLR para carregar e executar comandos PowerShell dentro do ambiente AutoIt, o ViperSoftX busca se misturar às atividades legítimas no sistema e evitar a detecção.
Isso é possível porque, apesar de o AutoIT não suportar .NET CLR nativamente, os usuários podem definir funções que permitem invocar comandos PowerShell indiretamente.
O ViperSoftX utiliza forte ofuscação em Base64 e criptografia AES para esconder os comandos nos scripts PowerShell tirados dos arquivos de imagem isca.
O malware também inclui uma função para modificar a memória da função da Antimalware Scan Interface (AMSI) ('AmsiScanBuffer') para contornar verificações de segurança nos scripts.
Para comunicação em rede, o ViperSoftX utiliza hostnames enganosos como ‘security-microsoft.com.
Para permanecer sob o radar, informações do sistema são codificadas no formato Base64 e os dados são entregues via uma requisição POST com um comprimento de conteúdo de “0”.
Ao fazer isso, o ator de ameaças tenta novamente evitar atenção devido à falta de conteúdo no corpo.
O objetivo do ViperSoftX é roubar os seguintes dados de sistemas comprometidos:
- Detalhes do sistema e hardware
- Dados de carteiras de criptomoedas de extensões de navegador como MetaMask, Ronin Wallet, entre outras
- Conteúdos da área de transferência
A Trellix diz que o ViperSoftX refinou suas táticas de evasão e tornou-se uma ameaça maior.
Integrando CLR para executar PowerShell dentro do AutoIt, o malware consegue executar funções maliciosas enquanto evita mecanismos de segurança que normalmente identificam atividade isolada de PowerShell.
Os pesquisadores descrevem o malware como uma ameaça moderna sofisticada e ágil que pode ser combatida com "uma estratégia de defesa abrangente que engloba capacidades de detecção, prevenção e resposta".
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...