HACKING

ViperSoftX malware: Εγκαθιστά την επέκταση VenomSoftX και κλέβει crypto

This post was originally published on this site

Μια κακόβουλη επέκταση για τον Google Chrome browser, με το όνομα «VenomSoftX», αναπτύσσεται από κακόβουλο λογισμικό των Windows για την κλοπή crypto και περιεχομένων του clipboard, όσο οι χρήστες περιηγούνται στο διαδίκτυο. Η κακόβουλη επέκταση VenomSoftX εγκαθίσταται από το Windows malware ViperSoftX, το οποίο λειτουργεί ως JavaScript-based RAT (trojan απομακρυσμένης πρόσβασης) και crypto hijacker.

ViperSoftX malware crypto

Το ViperSoftX κυκλοφορεί από το 2020, όπως είχε αποκαλυφθεί προηγουμένως από ερευνητές ασφαλείας της Cerberus, τον Colin Cowie και ερευνητές της Fortinet.

Ωστόσο, μια νέα έκθεση από την Avast, παρέχει περισσότερες λεπτομέρειες σχετικά με την κακόβουλη επέκταση και τον τρόπο με τον οποίο το malware έχει αναπτυχθεί το τελευταίο διάστημα.

Δείτε επίσης: Απατεώνες παρακάμπτουν το 2FA για Coinbase και MetaMask και κλέβουν crypto

ViperSoftX malware: Πρόσφατη Δραστηριότητα

Από τις αρχές του 2022, η Avast εντόπισε και σταμάτησε 93.000 απόπειρες μόλυνσης από το ViperSoftX εναντίον των πελατών της. Οι στόχοι βρίσκονται κυρίως κυρίως στις Ηνωμένες Πολιτείες, την Ιταλία, τη Βραζιλία και την Ινδία.

Το κύριο κανάλι διανομής για το ViperSoftX malware είναι αρχεία torrent που περιέχουν game cracks και software product activators.

Αναλύοντας τις διευθύνσεις πορτοφολιού που είναι κωδικοποιημένες σε δείγματα ViperSoftX και VenomSoftX, η Avast διαπίστωσε ότι η επέκταση και το malware είχαν προσφέρει συνολικά στους χειριστές τους περίπου 130.000 $ έως τις 8 Νοεμβρίου 2022.

Τα κλεμμένα crypto αποκτήθηκαν με εκτροπή συναλλαγών κρυπτονομισμάτων που επιχειρήθηκαν σε παραβιασμένες συσκευές και δεν περιλαμβάνουν κέρδη από παράλληλες δραστηριότητες.

Το ληφθέν εκτελέσιμο αρχείο είναι ένα malware loader που αποκρυπτογραφεί AES data για να δημιουργήσει τα ακόλουθα πέντε αρχεία:

  • Log file που κρύβει ένα ViperSoftX PowerShell payload
  • XML file για τον task scheduler
  • VBS file για τη δημιουργία persistence δημιουργώντας ένα scheduled task
  • Application binary (το υποτιθέμενο παιχνίδι ή λογισμικό)
  • Manifest file

Ο κακόβουλος κώδικας κρύβεται κάπου προς το κάτω μέρος του log text file 5 MB και εκτελείται για να αποκρυπτογραφήσει το payload, το ViperSoftX stealer malware.

Οι νεότερες παραλλαγές του ViperSoftX δεν διαφέρουν πολύ από τις προηγούμενες. Επιτρέπουν την κλοπή δεδομένων από crypto wallets, την εκτέλεση εντολών, λήψεις payloads από το C2 κ.λπ.

Δείτε επίσης: Δύο Εσθονοί έκλεψαν κρυπτονομίσματα αξίας 575 εκατομμυρίων

Ένα βασικό χαρακτηριστικό των νεότερων παραλλαγών του ViperSoftX malware είναι η εγκατάσταση της κακόβουλης επέκτασης VenomSoftX που αναφέραμε παραπάνω, και που επηρεάζει προγράμματα περιήγησης που βασίζονται σε Chrome (Chrome, Brave, Edge, Opera).

επέκταση VenomSoftX Chromeεπέκταση VenomSoftX Chrome

Μόλυνση του Chrome

Για να μείνει κρυφή από τα θύματα, η εγκατεστημένη κακόβουλη επέκταση μεταμφιέζεται στο “Google Sheets 2.1“, ένα productivity app της Google. Τον Μάιο, ο ερευνητής ασφαλείας Colin Cowie εντόπισε επίσης την επέκταση εγκατεστημένη ως “Update Manager“.

Οι δραστηριότητες της επέκτασης VenomSoftX και του ViperSoftX malware μοιάζουν, καθώς και τα δύο στοχεύουν τα crypto assets ενός θύματος, αλλά η επέκταση εκτελεί την κλοπή διαφορετικά, δίνοντας στους χειριστές μεγαλύτερες πιθανότητες επιτυχίας.

Η επέκταση VenomSoftX το κάνει κυρίως αυτό (κλέβει crypto) συνδέοντας API requests σε μερικά πολύ δημοφιλή crypto exchanges που επισκέπτονται τα θύματα ή έχουν λογαριασμό“, εξηγεί η Avast στην αναφορά.

Όταν ένα συγκεκριμένο API καλείται, για παράδειγμα, να στείλει χρήματα, η VenomSoftX παραποιεί το αίτημα προτού σταλεί για να ανακατευθύνει τα χρήματα στον εισβολέα“.

Οι υπηρεσίες που στοχεύει η κακόβουλη Chrome επέκταση VenomSoftX είναι οι Blockchain.com, Binance, Coinbase, Gate.io και Kucoin. Η επέκταση παρακολουθεί επίσης το πρόχειρο για την προσθήκη νέων διευθύνσεων πορτοφολιού.

Επιπλέον, η επέκταση μπορεί να τροποποιήσει το HTML σε ιστότοπους για να εμφανίζει το cryptocurrency wallet address ενός χρήστη, ενώ χειρίζεται τα στοιχεία στο παρασκήνιο για να ανακατευθύνει τις πληρωμές στον παράγοντα απειλής.

Δείτε επίσης: Microsoft: Οι επιθέσεις κλοπής token αυξάνονται συνεχώς

Για τον προσδιορισμό των assets του θύματος, η επέκταση VenomSoftX παρεμποδίζει επίσης όλα τα API requests προς τις υπηρεσίες crypto που αναφέρονται παραπάνω. Στη συνέχεια, ορίζει το ποσό της συναλλαγής στο μέγιστο διαθέσιμο, αποσπώντας όλα τα διαθέσιμα κεφάλαια.

Για to Blockchain.info, η επέκταση θα επιχειρήσει επίσης να κλέψει τους κωδικούς πρόσβασης που έχουν εισαχθεί στον ιστότοπο.

Καθώς το Google Sheets εγκαθίσταται κανονικά στο Google Chrome ως εφαρμογή στο chrome://apps/ και όχι ως επέκταση, μπορείτε να ελέγξετε το extension page του προγράμματος περιήγησής σας για να προσδιορίσετε εάν είναι εγκατεστημένο το Google Sheets.

Εάν έχει εγκατασταθεί ως επέκταση, θα πρέπει να την καταργήσετε και να διαγράψετε τα δεδομένα του προγράμματος περιήγησής σας για να διασφαλίσετε ότι η κακόβουλη επέκταση θα καταργηθεί.

Για να προστατευτείτε από το ViperSoftX malware (και την κακόβουλη επέκταση VenomSoftX που το συνοδεύει) αλλά και άλλα αντίστοιχα κακόβουλα προγράμματα, αποφύγετε τη λήψη λογισμικού, παιχνιδιών κλπ από μη αξιόπιστες πηγές. Μπορεί να πιστεύετε ότι μπορείτε να εξασφαλίσετε δωρεάν κάποιο πρόγραμμα που σας ενδιαφέρει, αλλά στις περισσότερες περιπτώσεις, κινδυνεύετε να μολυνθείτε με κάποιο malware.

Περισσότερες λεπτομέρειες μπορείτε να βρείτε στην έκθεση της Avast.

Πηγή: www.bleepingcomputer.com

The post ViperSoftX malware: Εγκαθιστά την επέκταση VenomSoftX και κλέβει crypto appeared first on SecNews.gr.

https://www.secnews.gr/security/

%d bloggers like this: