Удоволствието от четене на е-книги също е съпроводено с кибер

Удоволствието от четене на е-книги също е съпроводено с кибер опасности
(снимка: CC0 Public Domain)

Зловреден програмен продукт от вида троянец се популяризира интензивно през торенти, маскиран като списък с електронни книги, предизвестиха експерти по сигурност. ViperSoftX се отличава с развита функционалност и мистериозност, а една от задачите му е да доставя други вредоносни стратегии в устройствата на жертвите.

Троянецът ViperSoftX употребява Common Language Runtime (CLR) за динамично зареждане и осъществяване на команди на PowerShell. Както разкриват специалистите на Trellix, вредоносният програмен продукт е в положение да се интегрира с функционалността на PowerShell и да извършва злонамерените си функционалности прикрито от механизмите за разкриване, които биха реагирали на активността на PowerShell.

ViperSoftX беше видян за първи път през 2020 година от експерти на Fortinet. Този злоумишлен програмен продукт е кадърен да ексфилтрира обилни данни от компрометирани Windows системи. Освен това непрестанно се усъвършенства: неговите създатели усвояват нови стелт техники и прибавят принадлежности за анти-анализ.

През май 2024 година беше засечена акция, в която ViperSoftX е употребен за разпространяване на троянския кон за далечен достъп Quasar RAT и крадеца на информация TesseactStealer.

Изкуството на маскировката

Злонамерените стратегии постоянно се популяризират под прикритието на пиратски програмен продукт посредством торенти. За първи път обаче злотворен програмен продукт се популяризира под прикритието на електронни книги. На евентуалната жертва се предлага да изтегли не файла непосредствено на електронния читател, а списък в RAR формат, който съдържа скрита папка и файл с бърз достъп, симулиращ безопасен документ.

Когато този файл се отвори, стартира многоетапен развой на заразяване: на първия стадий кодът на PowerShell се разопакова и започва, което разкрива скритата папка и конфигурира нейните принадлежности за непрекъснато наличие в системата; по-късно се започва скриптът AutoIt, който взаимодейства с рамката.NET CLR, с цел да дешифрира и извърши втория скрипт на PowerShell – в действителност тялото на самия ViperSoftX.

Както означават специалистите на Trellix, AutoIt не поддържа.NET CLR по дифолт, само че потребителят може да дефинира избрани функционалности на този език, които обезпечават достъп до CLR библиотеката. В резултат на това нападателите получават достъп до необятните благоприятни условия на PowerShell.

ViperSoftX също по този начин е кадърен да модифицира интерфейса за сканиране на AMSI (Antimalware Scan Interface), преди да започва PowerShell скриптове, като по този метод си обезпечава спомагателна непрозрачност от обичайните принадлежности за осведомителна сигурност.

От надзор на крипто портфейли до далечен достъп

След като се настани в устройството на жертвата, зловредният програмен продукт свободно събира систематична информация, търси разширения на браузъра, съответстващи на крипто портфейли, и прихваща наличието на клипборда.

Освен това може да изтегля и извършва спомагателни съставни елементи, както и да извършва команди от далечен сървър. В случай на нахлуване в принадлежности за премахване на неточности е очакван механизъм за самоотстраняване.

Авторите на злотворен програмен продукт са най-креативни, когато става въпрос за стелт и машинация, и това е мястото, където конкуренцията във въоръжаването с разработчиците на принадлежности за сигурност наподобява безкрайна, разясняват експерти.