ViperSoftX InfoStealer adota técnicas sofisticadas para evitar detecção
28 de Abril de 2023

Um número significativo de vítimas nos setores de consumo e empresas localizadas na Austrália, Japão, EUA e Índia foram afetadas por um malware evasivo de roubo de informações chamado ViperSoftX.

O ViperSoftX foi documentado pela primeira vez em 2020, com a empresa de segurança cibernética Avast detalhando uma campanha em novembro de 2022 que utilizou o malware para distribuir uma extensão maliciosa do Google Chrome capaz de roubar criptomoedas de aplicativos de carteira.

Agora, uma nova análise da Trend Micro revelou a adoção do malware de "técnicas de criptografia mais sofisticadas e técnicas básicas de anti-análise, como remapeamento de bytes e bloqueio de comunicação do navegador da web".

O vetor de chegada do ViperSoftX geralmente é uma rachadura de software ou um gerador de chave (keygen), enquanto também utiliza software não malicioso real como editores de multimídia e aplicativos de limpeza do sistema como "carregadores".

Uma das etapas-chave executadas pelo malware antes de baixar um carregador PowerShell de primeira etapa é uma série de verificações anti-máquina virtual, anti-monitoramento e anti-malware.

O carregador então descriptografa e executa um script PowerShell de segunda etapa recuperado de um servidor remoto, que então cuida do lançamento da rotina principal responsável por instalar extensões de navegador maliciosas para exfiltrar senhas e dados de carteira criptográfica.

Os principais servidores de comando e controle (C&C) usados ​​para o download da segunda etapa foram observados mudando mensalmente, sugerindo tentativas por parte do ator de contornar a detecção.

"Ele também usa algumas análises básicas de anti-C&C, impedindo a comunicação usando navegadores da web", disse o pesquisador da Trend Micro, Don Ovid Ladores, adicionando que a versão atualizada do ViperSoftX procura a presença de gerenciadores de senhas KeePass 2 e 1Password.

Como mitigação, é recomendado que os usuários baixem software apenas de plataformas e fontes oficiais e evitem baixar software ilegal.

"Os criminosos cibernéticos por trás do ViperSoftX também são habilidosos o suficiente para executar uma cadeia perfeita para a execução de malware enquanto permanecem abaixo do radar das autoridades selecionando um dos métodos mais eficazes para fornecer malware aos consumidores", acrescentou Ovid Ladores.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...