Скачал книжку – потерял всё: хитрая схема заражения ViperSoftX

Исследователи безопасности из компании Trellix обнаружили, что вредоносное ПО ViperSoftX теперь распространяется через электронные книги, скачиваемые с пиратских торрент-сайтов. Эта сложная зловредная программа использует .NET Common Language Runtime (CLR) для динамической загрузки и выполнения команд, создавая PowerShell -среду внутри AutoIt .

Специалисты Trellix отмечают, что использование CLR позволяет ViperSoftX интегрировать функциональность PowerShell, исполняя вредоносные функции и избегая обнаружения защитными механизмами, которые могли бы заметить отдельную активность PowerShell.

Впервые ViperSoftX был выявлен компанией Fortinet в 2020 году и с тех пор постоянно совершенствуется, оставаясь незаметным и обходя защитные меры. В апреле 2023 года эксперты Trend Micro задокументировали сложные техники антианализа, используемые этим вредоносным ПО, такие как повторное сопоставление байтов и блокировка связи веб-браузеров.

В мае 2024 года хакеры активно использовали ViperSoftX для распространения других вредоносных программ, таких как Quasar RAT и TesseractStealer. Для этого использовалось взломанное ПО и торрент-сайты, но новый подход с приманками в виде электронных книг стал неожиданностью для исследователей.

Внутри RAR-архива с предполагаемой электронной книгой расположена скрытая папка и вредоносный ярлык Windows, замаскированный под безобидный документ (собственно, под электронную книгу). Запуск ярлыка инициирует многоэтапную последовательность заражения, начиная с извлечения кода PowerShell, который раскрывает скрытую папку и устанавливает постоянство в системе. Затем запускается скрипт AutoIt, взаимодействующий с .NET CLR для расшифровки и запуска вторичного скрипта PowerShell, который и является программой ViperSoftX.

ViperSoftX собирает информацию о системе, сканирует криптовалютные кошельки через расширения браузера, захватывает содержимое буфера обмена и загружает дополнительные полезные нагрузки и команды на основе ответов от удалённого сервера. Также он обладает механизмами самоудаления, чтобы усложнить его обнаружение.

Одной из ключевых особенностей ViperSoftX является его способность использовать CLR для управления операциями PowerShell в среде AutoIt, что позволяет программе исполнять вредоносные функции, избегая стандартных механизмов обнаружения. Кроме того, ViperSoftX может обходить традиционные меры безопасности, модифицируя интерфейс антивирусного сканирования (AMSI) перед выполнением PowerShell-скриптов.

Подводя итог, стоит помнить, что бесплатный сыр бывает только в мышеловке, и погоня за пиратским контентом может привести к катастрофическим последствиям для безопасности вашего устройства и личных данных. Важно соблюдать цифровую гигиену, использовать только проверенные источники и регулярно обновлять средства защиты, чтобы не стать жертвой всё более изощренных методов киберпреступников.