Новости Скачал книжку – потерял всё: хитрая схема заражения ViperSoftX

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Кибермошенники освоили неожиданный канал доставки вредоносных программ.


95rbyonelww1c3ip3dw9i5qqywjwc102.jpg


Исследователи безопасности из компании Trellix Для просмотра ссылки Войди или Зарегистрируйся что вредоносное ПО ViperSoftX теперь распространяется через электронные книги, скачиваемые с пиратских торрент-сайтов. Эта сложная зловредная программа использует .NET Common Language Runtime (CLR) для динамической загрузки и выполнения команд, создавая PowerShell -среду внутри AutoIt .

Специалисты Trellix отмечают, что использование CLR позволяет ViperSoftX интегрировать функциональность PowerShell, исполняя вредоносные функции и избегая обнаружения защитными механизмами, которые могли бы заметить отдельную активность PowerShell.

Впервые ViperSoftX Для просмотра ссылки Войди или Зарегистрируйся компанией Fortinet в 2020 году и с тех пор постоянно совершенствуется, оставаясь незаметным и обходя защитные меры. В апреле 2023 года эксперты Trend Micro задокументировали сложные техники антианализа, используемые этим вредоносным ПО, такие как повторное сопоставление байтов и блокировка связи веб-браузеров.

В мае 2024 года хакеры активно использовали ViperSoftX для распространения других вредоносных программ, таких как Quasar RAT и TesseractStealer. Для этого использовалось взломанное ПО и торрент-сайты, но новый подход с приманками в виде электронных книг стал неожиданностью для исследователей.

Внутри RAR-архива с предполагаемой электронной книгой расположена скрытая папка и вредоносный ярлык Windows, замаскированный под безобидный документ (собственно, под электронную книгу). Запуск ярлыка инициирует многоэтапную последовательность заражения, начиная с извлечения кода PowerShell, который раскрывает скрытую папку и устанавливает постоянство в системе. Затем запускается скрипт AutoIt, взаимодействующий с .NET CLR для расшифровки и запуска вторичного скрипта PowerShell, который и является программой ViperSoftX.

ViperSoftX собирает информацию о системе, сканирует криптовалютные кошельки через расширения браузера, захватывает содержимое буфера обмена и загружает дополнительные полезные нагрузки и команды на основе ответов от удалённого сервера. Также он обладает механизмами самоудаления, чтобы усложнить его обнаружение.

Одной из ключевых особенностей ViperSoftX является его способность использовать CLR для управления операциями PowerShell в среде AutoIt, что позволяет программе исполнять вредоносные функции, избегая стандартных механизмов обнаружения. Кроме того, ViperSoftX может обходить традиционные меры безопасности, модифицируя интерфейс антивирусного сканирования (AMSI) перед выполнением PowerShell-скриптов.

Подводя итог, стоит помнить, что бесплатный сыр бывает только в мышеловке, и погоня за пиратским контентом может привести к катастрофическим последствиям для безопасности вашего устройства и личных данных. Важно соблюдать цифровую гигиену, использовать только проверенные источники и регулярно обновлять средства защиты, чтобы не стать жертвой всё более изощренных методов киберпреступников.
 
Источник новости
www.securitylab.ru

Похожие темы