O malware sofisticado conhecido como ViperSoftX foi observado sendo distribuído como eBooks por torrents.
“Um aspecto notável da variante atual do ViperSoftX é que ele usa o Widespread Language Runtime (CLR) para carregar e executar dinamicamente comandos do PowerShell, criando assim um ambiente PowerShell dentro do AutoIt para operações”, disseram os pesquisadores de segurança da Trellix, Mathanraj Thangaraju e Sijo Jacob.
“Ao utilizar o CLR, o ViperSoftX pode integrar perfeitamente a funcionalidade do PowerShell, permitindo que ele execute funções maliciosas enquanto evita mecanismos de detecção que poderiam sinalizar atividades autônomas do PowerShell.”
Inicialmente detectado pela Fortinet em 2020, o ViperSoftX é conhecido por sua capacidade de exfiltrar informações confidenciais de hosts Home windows comprometidos. Ao longo dos anos, o malware se tornou um exemplo relevante de agentes de ameaças inovando continuamente suas táticas em uma tentativa de permanecer furtivos e contornar as defesas.
Isso é exemplificado pela maior complexidade e pela adoção de técnicas avançadas de antianálise, como remapeamento de bytes e bloqueio de comunicação do navegador da internet, conforme documentado pela Development Micro em abril de 2023.
Em maio de 2024, campanhas maliciosas usaram o ViperSoftX como um veículo de entrega para distribuir o Quasar RAT e outro ladrão de informações chamado TesseractStealer.
As cadeias de ataque que propagam o malware são conhecidas por empregar software program crackeado e websites de torrent, mas o uso de iscas de eBook é uma abordagem recentemente observada. Presente dentro do suposto arquivo RAR do eBook está uma pasta oculta, bem como um arquivo de atalho enganoso do Home windows que pretende ser um documento benigno.
A execução do arquivo de atalho inicia uma sequência de infecção em vários estágios que começa com a extração do código do PowerShell que exibe a pasta oculta e configura a persistência no sistema para iniciar um script AutoIt que, por sua vez, interage com a estrutura .NET CLR para descriptografar e executar um script secundário do PowerShell, que é o ViperSoftX.
“O AutoIt não suporta por padrão o .NET Widespread Language Runtime (CLR)”, disseram os pesquisadores. “No entanto, as funções definidas pelo usuário (UDF) da linguagem oferecem um gateway para a biblioteca CLR, concedendo a atores malévolos acesso aos formidáveis recursos do PowerShell.”
O ViperSoftX coleta informações do sistema, escaneia carteiras de criptomoedas por meio de extensões do navegador, captura conteúdos da área de transferência e baixa e executa dinamicamente payloads e comandos adicionais com base nas respostas recebidas de um servidor remoto. Ele também vem com mecanismos de autoexclusão para desafiar a detecção.
“Um dos recursos de destaque do ViperSoftX é seu uso hábil do Widespread Language Runtime (CLR) para orquestrar operações do PowerShell dentro do ambiente AutoIt”, disseram os pesquisadores. “Essa integração permite a execução perfeita de funções maliciosas, ao mesmo tempo em que evita mecanismos de detecção que normalmente sinalizariam atividade autônoma do PowerShell.”
“Além disso, a capacidade da ViperSoftX de corrigir a Antimalware Scan Interface (AMSI) antes de executar scripts do PowerShell ressalta sua determinação em contornar as medidas de segurança tradicionais.”
