Um número significativo de vítimas nos setores de consumo e empresas localizadas na Austrália, Japão, EUA e Índia foram afetadas por um malware evasivo de roubo de informações chamado ViperSoftX.
O ViperSoftX foi documentado pela primeira vez em 2020, com a empresa de segurança cibernética Avast detalhando uma campanha em novembro de 2022 que utilizou o malware para distribuir uma extensão maliciosa do Google Chrome capaz de roubar criptomoedas de aplicativos de carteira.
Agora, uma nova análise da Trend Micro revelou a adoção do malware de "técnicas de criptografia mais sofisticadas e técnicas básicas de anti-análise, como remapeamento de bytes e bloqueio de comunicação do navegador da web".
O vetor de chegada do ViperSoftX geralmente é uma rachadura de software ou um gerador de chave (keygen), enquanto também utiliza software não malicioso real como editores de multimídia e aplicativos de limpeza do sistema como "carregadores".
Uma das etapas-chave executadas pelo malware antes de baixar um carregador PowerShell de primeira etapa é uma série de verificações anti-máquina virtual, anti-monitoramento e anti-malware.
O carregador então descriptografa e executa um script PowerShell de segunda etapa recuperado de um servidor remoto, que então cuida do lançamento da rotina principal responsável por instalar extensões de navegador maliciosas para exfiltrar senhas e dados de carteira criptográfica.
Os principais servidores de comando e controle (C&C) usados para o download da segunda etapa foram observados mudando mensalmente, sugerindo tentativas por parte do ator de contornar a detecção.
"Ele também usa algumas análises básicas de anti-C&C, impedindo a comunicação usando navegadores da web", disse o pesquisador da Trend Micro, Don Ovid Ladores, adicionando que a versão atualizada do ViperSoftX procura a presença de gerenciadores de senhas KeePass 2 e 1Password.
Como mitigação, é recomendado que os usuários baixem software apenas de plataformas e fontes oficiais e evitem baixar software ilegal.
"Os criminosos cibernéticos por trás do ViperSoftX também são habilidosos o suficiente para executar uma cadeia perfeita para a execução de malware enquanto permanecem abaixo do radar das autoridades selecionando um dos métodos mais eficazes para fornecer malware aos consumidores", acrescentou Ovid Ladores.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...