Die gefährliche Malware ViperSoftX hat einen neuen Distributionsweg gefunden, indem sie sich nun in E-Books versteckt, die über Torrents verbreitet werden.
Bisher war die neueste CLR-fähige Version von ViperSoftX in gecrackter Software und illegal kopierten Apps enthalten.
Doch nun haben Sicherheitsforscher die Malware in raubkopierten E-Books entdeckt, die über Torrent-Netzwerke verbreitet werden.
ViperSoftX ist in der Lage, vertrauliche Informationen von Windows-Computern zu extrahieren, ohne erkannt zu werden.
Zudem kann die Malware mehrere Befehle ohne direkte Benutzerinteraktion ausführen.
Laut den Sicherheitsforschern von Trellix nutzen Angreifer vorhandene Skripte, anstatt neuen Code zu schreiben.
Sie passen offensive Sicherheitsskripte an, indem sie nur die notwendigen Elemente selektiv ändern.
Dies ermöglicht es, Erkennungsmechanismen zu umgehen.
Die Trellix-Sicherheitsforscher Mathanraj Thangaraju und Sijo Jacob betonen:
Neben dem PDF- und E-Book-Dokument enthält die heruntergeladene RAR-Datei einen versteckten Ordner, eine Verknüpfungsdatei und JPG-Dateien.
Diese Dateien beinhalten ein PowerShell-Skript, ein AutoIT-Skript und eine ausführbare Datei.
Der PowerShell-Code ist in Leerzeichen versteckt, während die AutoIT-Skripte die bösartigen Aktionen der Cyberkriminellen verschleiern, um nicht entdeckt zu werden.
Die aktuelle Version von ViperSoftX nutzt die Common Language Runtime (CLR), um PowerShell-Befehle innerhalb von AutoIT dynamisch zu laden und auszuführen, wodurch sie nahtlos mit PowerShell-Funktionen und Erkennungstools interagiert.
Bedrohungsakteure können AutoIT nutzen, um unbemerkt PowerShell-Befehle über Automatisierungsklassen auszuführen.
Diese können mit PowerShell-Modulen, Cmdlets und Skripts interagieren.
ViperSoftX patcht das Windows Antimalware Scan Interface (AMSI) und deaktiviert es, bevor es mit der Ausführung von PowerShell-Skripten beginnt.
Dadurch entgeht die Malware der Erkennung durch Sicherheitslösungen, die auf AMSI basieren.
Seit ihrem ersten Auftreten im Jahr 2020 zeigt ViperSoftX laut Sicherheitsforschern mit jeder neuen Version eine zunehmende Komplexität und fortgeschrittene Fähigkeiten.
Gemäß dem Bundesamt für Sicherheit in der Informationstechnik (BSI) stiehlt ViperSoftX Daten von infizierten Systemen, insbesondere Passwörter und Kryptowährungen.
Die Schadsoftware kann Transaktionen von Kryptowährungen umleiten und den Angreifern die volle Kontrolle über das infizierte System geben.
Im Falle einer Infektion rät das BSI:
Du musst Regestriert sein, um das angehängte Bild zusehen.
Bisher war die neueste CLR-fähige Version von ViperSoftX in gecrackter Software und illegal kopierten Apps enthalten.
Doch nun haben Sicherheitsforscher die Malware in raubkopierten E-Books entdeckt, die über Torrent-Netzwerke verbreitet werden.
ViperSoftX ist in der Lage, vertrauliche Informationen von Windows-Computern zu extrahieren, ohne erkannt zu werden.
Zudem kann die Malware mehrere Befehle ohne direkte Benutzerinteraktion ausführen.
Laut den Sicherheitsforschern von Trellix nutzen Angreifer vorhandene Skripte, anstatt neuen Code zu schreiben.
Sie passen offensive Sicherheitsskripte an, indem sie nur die notwendigen Elemente selektiv ändern.
Dies ermöglicht es, Erkennungsmechanismen zu umgehen.
Die Trellix-Sicherheitsforscher Mathanraj Thangaraju und Sijo Jacob betonen:
„Ein bemerkenswerter Aspekt der aktuellen Variante von ViperSoftX ist, dass es die Common Language Runtime (CLR) verwendet, um PowerShell-Befehle dynamisch zu laden und auszuführen und so eine PowerShell-Umgebung innerhalb von AutoIt für Operationen zu erstellen.
Durch die Nutzung von CLR kann ViperSoftX die PowerShell-Funktionalität nahtlos integrieren und so bösartige Funktionen ausführen und gleichzeitig Erkennungsmechanismen umgehen, die andernfalls eigenständige PowerShell-Aktivitäten kennzeichnen würden.“
E-Book „Excel-Cookbook Recipes for Mastering Excel“ als Träger der ViperSoftX-Malware
Die Malware tarnt sich als unschuldiges E-Book, das über einen Torrent-Link verfügbar ist.Neben dem PDF- und E-Book-Dokument enthält die heruntergeladene RAR-Datei einen versteckten Ordner, eine Verknüpfungsdatei und JPG-Dateien.
Diese Dateien beinhalten ein PowerShell-Skript, ein AutoIT-Skript und eine ausführbare Datei.
Funktionsweise der Malware
Durch die Ausführung der Verknüpfungsdatei wird eine Befehlsfolge gestartet.Der PowerShell-Code ist in Leerzeichen versteckt, während die AutoIT-Skripte die bösartigen Aktionen der Cyberkriminellen verschleiern, um nicht entdeckt zu werden.
Die aktuelle Version von ViperSoftX nutzt die Common Language Runtime (CLR), um PowerShell-Befehle innerhalb von AutoIT dynamisch zu laden und auszuführen, wodurch sie nahtlos mit PowerShell-Funktionen und Erkennungstools interagiert.
Verwendung von AutoIt-Skripten zur Verschleierung schädlicher Aktivitäten
Obwohl die Freeware AutoIT das .NET CLR-Framework standardmäßig nicht unterstützt, bieten ihre benutzerdefinierten Funktionen (UDF) einen Zugang zu ihrer Bibliothek.Bedrohungsakteure können AutoIT nutzen, um unbemerkt PowerShell-Befehle über Automatisierungsklassen auszuführen.
Diese können mit PowerShell-Modulen, Cmdlets und Skripts interagieren.
ViperSoftX patcht das Windows Antimalware Scan Interface (AMSI) und deaktiviert es, bevor es mit der Ausführung von PowerShell-Skripten beginnt.
Dadurch entgeht die Malware der Erkennung durch Sicherheitslösungen, die auf AMSI basieren.
Seit ihrem ersten Auftreten im Jahr 2020 zeigt ViperSoftX laut Sicherheitsforschern mit jeder neuen Version eine zunehmende Komplexität und fortgeschrittene Fähigkeiten.
Gemäß dem Bundesamt für Sicherheit in der Informationstechnik (BSI) stiehlt ViperSoftX Daten von infizierten Systemen, insbesondere Passwörter und Kryptowährungen.
Die Schadsoftware kann Transaktionen von Kryptowährungen umleiten und den Angreifern die volle Kontrolle über das infizierte System geben.
Im Falle einer Infektion rät das BSI:
„Um ViperSoftX zu entfernen wird empfohlen, das infizierte System mit einem Antivirus-Programm zu scannen.
Zusätzlich zur Infektion mit ViperSoftX installiert die Schadsoftware eine bösartige Browsererweiterung, die ebenfalls entfernt werden muss.“
