Το κακόβουλο λογισμικό (malware) ViperSoftX, έχει εντοπιστεί να διανέμεται ως eBook μέσω torrents.
«Μια αξιοσημείωτη πτυχή της πιο πρόσφατης παραλλαγής του ViperSoftX είναι η χρήση του Common Language Runtime (CLR) για τη δυναμική φόρτωση και εκτέλεση εντολών PowerShell, δημιουργώντας έτσι ένα PowerShell περιβάλλον στο AutoIt για τις λειτουργίες του,» ανέφεραν οι ερευνητές ασφαλείας της Trellix, Mathanraj Thangaraju και Sijo Jacob.
«Με την αξιοποίηση του CLR, το ViperSoftX μπορεί να ενσωματώσει αβίαστα τη λειτουργικότητα του PowerShell, επιτρέποντάς του να εκτελεί κακόβουλες ενέργειες ενώ αποφεύγει μηχανισμούς ανίχνευσης που, σε διαφορετική περίπτωση, θα αποκάλυπταν την αυτόνομη δραστηριότητα του PowerShell.»
Διαβάστε επίσης: Hacker εκμεταλλεύονται το Jenkins Script Console για επιθέσεις crypto mining
Αρχικά εντοπισμένο από το Fortinet το 2020, το ViperSoftX είναι γνωστό για την ικανότητά του να διεισδύει σε ευαίσθητες πληροφορίες από παραβιασμένους υπολογιστές Windows. Με τα χρόνια, το κακόβουλο λογισμικό έχει γίνει ένα χαρακτηριστικό παράδειγμα των χάκερς που συνεχώς καινοτομούν τις τακτικές τους για να παραμένουν κρυφοί και να παρακάμπτουν τις άμυνες. Αυτό επιβεβαιώνεται από την αυξημένη πολυπλοκότητα και την υιοθέτηση προηγμένων τεχνικών αντι-ανάλυσης, όπως η επαναχαρτογράφηση byte και ο αποκλεισμός επικοινωνίας του προγράμματος περιήγησης ιστού, όπως τεκμηριώθηκε από την Trend Micro τον Απρίλιο του 2023.
Τον Μάιο του 2024, κακόβουλες καμπάνιες χρησιμοποίησαν το ViperSoftX ως όχημα διανομής για το Quasar RAT και έναν άλλο κλέφτη πληροφοριών, τον TesseractStealer. Οι αλυσίδες επιθέσεων που διαδίδουν το κακόβουλο λογισμικό είναι γνωστό ότι χρησιμοποιούν σπασμένο λογισμικό και ιστότοπους torrent, αλλά η χρήση δολωμάτων eBook είναι μια πρόσφατα τακτική που ανακαλύφθηκε πρόσφατα. Στο ψεύτικο αρχείο αρχειοθέτησης RAR του eBook, υπάρχει ένας κρυφός φάκελος καθώς και ένα παραπλανητικό αρχείο συντόμευσης των Windows που προσομοιώνει ένα νόμιμο έγγραφο.
Η εκτέλεση του αρχείου συντόμευσης εκκινεί μια ακολουθία μόλυνσης πολλών σταδίων που ξεκινά με την εξαγωγή του κώδικα PowerShell που αποκρύπτει τον κρυφό φάκελο και ρυθμίζει την επιμονή στο σύστημα για να ξεκινήσει ένα σενάριο AutoIt που, με τη σειρά του, αλληλεπιδρά με το πλαίσιο .NET CLR, για να αποκρυπτογραφήστε και εκτελέστε ένα δευτερεύον script PowerShell, το οποίο είναι το ViperSoftX.
Δείτε ακόμη: GuardZoo: Στοχεύει στρατιωτικό προσωπικό της Μέσης Ανατολής
“Το AutoIt δεν υποστηρίζει εγγενώς το .NET Common Language Runtime (CLR)”, δήλωσαν οι ερευνητές. “Ωστόσο, οι ορισμένες από τον χρήστη λειτουργίες (UDF) της γλώσσας επιτρέπουν την πρόσβαση στη βιβλιοθήκη CLR, δίνοντας στους κακόβουλους χρήστες τη δυνατότητα να αξιοποιήσουν τις ισχυρές δυνατότητες του PowerShell.”
Το ViperSoftX συλλέγει πληροφορίες συστήματος, σαρώνει για πορτοφόλια κρυπτονομισμάτων μέσω επεκτάσεων προγράμματος περιήγησης, καταγράφει τα περιεχόμενα του προχείρου και πραγματοποιεί δυναμικές λήψεις και εκτελέσεις πρόσθετων ωφέλιμων φορτίων και εντολών βάσει των απαντήσεων από έναν απομακρυσμένο server. Επίσης, περιλαμβάνει μηχανισμούς αυτοδιαγραφής για την αποφυγή ανίχνευσης.
«Ένα από τα κύρια χαρακτηριστικά του ViperSoftX είναι η εξειδικευμένη χρήση του Common Language Runtime (CLR) για την έναρξη λειτουργιών του PowerShell εντός του περιβάλλοντος AutoIt», δήλωσαν οι ερευνητές. «Αυτή η ενσωμάτωση επιτρέπει την απρόσκοπτη εκτέλεση κακόβουλων ενεργειών, αποφεύγοντας παράλληλα τους μηχανισμούς ανίχνευσης που συνήθως επισημαίνουν την αυτόνομη δραστηριότητα του PowerShell.»
«Επιπλέον, η ικανότητα του ViperSoftX να επιδιορθώνει τη διεπαφή σάρωσης Antimalware (AMSI) πριν την εκτέλεση PowerShell scripts υπογραμμίζει την αποφασιστικότητά του να παρακάμπτει τα κλασσικά μέτρα ασφαλείας.»
Διαβάστε περισσότερα: Check Point: Εκμετάλλευση compiled V8 JavaScript από δημιουργούς malware
Πηγή: thehackernews