ΑρχικήSecurityViperSoftX malware: Εγκαθιστά την επέκταση VenomSoftX και κλέβει crypto

ViperSoftX malware: Εγκαθιστά την επέκταση VenomSoftX και κλέβει crypto

Μια κακόβουλη επέκταση για τον Google Chrome browser, με το όνομα «VenomSoftX», αναπτύσσεται από κακόβουλο λογισμικό των Windows για την κλοπή crypto και περιεχομένων του clipboard, όσο οι χρήστες περιηγούνται στο διαδίκτυο. Η κακόβουλη επέκταση VenomSoftX εγκαθίσταται από το Windows malware ViperSoftX, το οποίο λειτουργεί ως JavaScript-based RAT (trojan απομακρυσμένης πρόσβασης) και crypto hijacker.

ViperSoftX malware crypto

Το ViperSoftX κυκλοφορεί από το 2020, όπως είχε αποκαλυφθεί προηγουμένως από ερευνητές ασφαλείας της Cerberus, τον Colin Cowie και ερευνητές της Fortinet.

Ωστόσο, μια νέα έκθεση από την Avast, παρέχει περισσότερες λεπτομέρειες σχετικά με την κακόβουλη επέκταση και τον τρόπο με τον οποίο το malware έχει αναπτυχθεί το τελευταίο διάστημα.

Δείτε επίσης: Απατεώνες παρακάμπτουν το 2FA για Coinbase και MetaMask και κλέβουν crypto

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Li1JaXRiYVF3ZzFV

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη

SecNewsTV 13 hours ago

#secnews #malware #browser #password 

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #malware #browser #password

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpXQnJYNTRHY2w0

StealC: Κατάχρηση kiosk mode του browser για κλοπή password

SecNewsTV 20 hours ago

ViperSoftX malware: Πρόσφατη Δραστηριότητα

Από τις αρχές του 2022, η Avast εντόπισε και σταμάτησε 93.000 απόπειρες μόλυνσης από το ViperSoftX εναντίον των πελατών της. Οι στόχοι βρίσκονται κυρίως κυρίως στις Ηνωμένες Πολιτείες, την Ιταλία, τη Βραζιλία και την Ινδία.

Το κύριο κανάλι διανομής για το ViperSoftX malware είναι αρχεία torrent που περιέχουν game cracks και software product activators.

Αναλύοντας τις διευθύνσεις πορτοφολιού που είναι κωδικοποιημένες σε δείγματα ViperSoftX και VenomSoftX, η Avast διαπίστωσε ότι η επέκταση και το malware είχαν προσφέρει συνολικά στους χειριστές τους περίπου 130.000 $ έως τις 8 Νοεμβρίου 2022.

Τα κλεμμένα crypto αποκτήθηκαν με εκτροπή συναλλαγών κρυπτονομισμάτων που επιχειρήθηκαν σε παραβιασμένες συσκευές και δεν περιλαμβάνουν κέρδη από παράλληλες δραστηριότητες.

Το ληφθέν εκτελέσιμο αρχείο είναι ένα malware loader που αποκρυπτογραφεί AES data για να δημιουργήσει τα ακόλουθα πέντε αρχεία:

  • Log file που κρύβει ένα ViperSoftX PowerShell payload
  • XML file για τον task scheduler
  • VBS file για τη δημιουργία persistence δημιουργώντας ένα scheduled task
  • Application binary (το υποτιθέμενο παιχνίδι ή λογισμικό)
  • Manifest file

Ο κακόβουλος κώδικας κρύβεται κάπου προς το κάτω μέρος του log text file 5 MB και εκτελείται για να αποκρυπτογραφήσει το payload, το ViperSoftX stealer malware.

Οι νεότερες παραλλαγές του ViperSoftX δεν διαφέρουν πολύ από τις προηγούμενες. Επιτρέπουν την κλοπή δεδομένων από crypto wallets, την εκτέλεση εντολών, λήψεις payloads από το C2 κ.λπ.

Δείτε επίσης: Δύο Εσθονοί έκλεψαν κρυπτονομίσματα αξίας 575 εκατομμυρίων

Ένα βασικό χαρακτηριστικό των νεότερων παραλλαγών του ViperSoftX malware είναι η εγκατάσταση της κακόβουλης επέκτασης VenomSoftX που αναφέραμε παραπάνω, και που επηρεάζει προγράμματα περιήγησης που βασίζονται σε Chrome (Chrome, Brave, Edge, Opera).

επέκταση VenomSoftX Chrome

Μόλυνση του Chrome

Για να μείνει κρυφή από τα θύματα, η εγκατεστημένη κακόβουλη επέκταση μεταμφιέζεται στο “Google Sheets 2.1“, ένα productivity app της Google. Τον Μάιο, ο ερευνητής ασφαλείας Colin Cowie εντόπισε επίσης την επέκταση εγκατεστημένη ως “Update Manager“.

Οι δραστηριότητες της επέκτασης VenomSoftX και του ViperSoftX malware μοιάζουν, καθώς και τα δύο στοχεύουν τα crypto assets ενός θύματος, αλλά η επέκταση εκτελεί την κλοπή διαφορετικά, δίνοντας στους χειριστές μεγαλύτερες πιθανότητες επιτυχίας.

Η επέκταση VenomSoftX το κάνει κυρίως αυτό (κλέβει crypto) συνδέοντας API requests σε μερικά πολύ δημοφιλή crypto exchanges που επισκέπτονται τα θύματα ή έχουν λογαριασμό“, εξηγεί η Avast στην αναφορά.

Όταν ένα συγκεκριμένο API καλείται, για παράδειγμα, να στείλει χρήματα, η VenomSoftX παραποιεί το αίτημα προτού σταλεί για να ανακατευθύνει τα χρήματα στον εισβολέα“.

Οι υπηρεσίες που στοχεύει η κακόβουλη Chrome επέκταση VenomSoftX είναι οι Blockchain.com, Binance, Coinbase, Gate.io και Kucoin. Η επέκταση παρακολουθεί επίσης το πρόχειρο για την προσθήκη νέων διευθύνσεων πορτοφολιού.

Επιπλέον, η επέκταση μπορεί να τροποποιήσει το HTML σε ιστότοπους για να εμφανίζει το cryptocurrency wallet address ενός χρήστη, ενώ χειρίζεται τα στοιχεία στο παρασκήνιο για να ανακατευθύνει τις πληρωμές στον παράγοντα απειλής.

Δείτε επίσης: Microsoft: Οι επιθέσεις κλοπής token αυξάνονται συνεχώς

Για τον προσδιορισμό των assets του θύματος, η επέκταση VenomSoftX παρεμποδίζει επίσης όλα τα API requests προς τις υπηρεσίες crypto που αναφέρονται παραπάνω. Στη συνέχεια, ορίζει το ποσό της συναλλαγής στο μέγιστο διαθέσιμο, αποσπώντας όλα τα διαθέσιμα κεφάλαια.

Για to Blockchain.info, η επέκταση θα επιχειρήσει επίσης να κλέψει τους κωδικούς πρόσβασης που έχουν εισαχθεί στον ιστότοπο.

Καθώς το Google Sheets εγκαθίσταται κανονικά στο Google Chrome ως εφαρμογή στο chrome://apps/ και όχι ως επέκταση, μπορείτε να ελέγξετε το extension page του προγράμματος περιήγησής σας για να προσδιορίσετε εάν είναι εγκατεστημένο το Google Sheets.

Εάν έχει εγκατασταθεί ως επέκταση, θα πρέπει να την καταργήσετε και να διαγράψετε τα δεδομένα του προγράμματος περιήγησής σας για να διασφαλίσετε ότι η κακόβουλη επέκταση θα καταργηθεί.

Για να προστατευτείτε από το ViperSoftX malware (και την κακόβουλη επέκταση VenomSoftX που το συνοδεύει) αλλά και άλλα αντίστοιχα κακόβουλα προγράμματα, αποφύγετε τη λήψη λογισμικού, παιχνιδιών κλπ από μη αξιόπιστες πηγές. Μπορεί να πιστεύετε ότι μπορείτε να εξασφαλίσετε δωρεάν κάποιο πρόγραμμα που σας ενδιαφέρει, αλλά στις περισσότερες περιπτώσεις, κινδυνεύετε να μολυνθείτε με κάποιο malware.

Περισσότερες λεπτομέρειες μπορείτε να βρείτε στην έκθεση της Avast.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS