Um número significativo de vítimas nos setores de consumo e empresas localizadas na Austrália, Japão, EUA e Índia foram afetadas por um malware evasivo de roubo de informações chamado ViperSoftX.
O ViperSoftX foi documentado pela primeira vez em 2020, com a empresa de segurança cibernética Avast detalhando uma campanha em novembro de 2022 que utilizou o malware para distribuir uma extensão maliciosa do Google Chrome capaz de roubar criptomoedas de aplicativos de carteira.
Agora, uma nova análise da Trend Micro revelou a adoção do malware de "técnicas de criptografia mais sofisticadas e técnicas básicas de anti-análise, como remapeamento de bytes e bloqueio de comunicação do navegador da web".
O vetor de chegada do ViperSoftX geralmente é uma rachadura de software ou um gerador de chave (keygen), enquanto também utiliza software não malicioso real como editores de multimídia e aplicativos de limpeza do sistema como "carregadores".
Uma das etapas-chave executadas pelo malware antes de baixar um carregador PowerShell de primeira etapa é uma série de verificações anti-máquina virtual, anti-monitoramento e anti-malware.
O carregador então descriptografa e executa um script PowerShell de segunda etapa recuperado de um servidor remoto, que então cuida do lançamento da rotina principal responsável por instalar extensões de navegador maliciosas para exfiltrar senhas e dados de carteira criptográfica.
Os principais servidores de comando e controle (C&C) usados para o download da segunda etapa foram observados mudando mensalmente, sugerindo tentativas por parte do ator de contornar a detecção.
"Ele também usa algumas análises básicas de anti-C&C, impedindo a comunicação usando navegadores da web", disse o pesquisador da Trend Micro, Don Ovid Ladores, adicionando que a versão atualizada do ViperSoftX procura a presença de gerenciadores de senhas KeePass 2 e 1Password.
Como mitigação, é recomendado que os usuários baixem software apenas de plataformas e fontes oficiais e evitem baixar software ilegal.
"Os criminosos cibernéticos por trás do ViperSoftX também são habilidosos o suficiente para executar uma cadeia perfeita para a execução de malware enquanto permanecem abaixo do radar das autoridades selecionando um dos métodos mais eficazes para fornecer malware aos consumidores", acrescentou Ovid Ladores.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...