В торентите: вместо е-книга – опасен троянец

Удоволствието от четене на е-книги също е съпроводено с кибер рискове
(снимка: CC0 Public Domain)

Зловреден софтуер от типа троянец се разпространява интензивно през торенти, маскиран като архив с електронни книги, предупредиха специалисти по сигурност. ViperSoftX се отличава с развита функционалност и потайност, а една от целите му е да доставя други вредоносни програми в устройствата на жертвите.

Троянецът ViperSoftX използва Common Language Runtime (CLR) за динамично зареждане и изпълнение на команди на PowerShell. Както разкриват експертите на Trellix, вредоносният софтуер е в състояние да се интегрира с функционалността на PowerShell и да изпълнява злонамерените си функции скрито от механизмите за откриване, които биха реагирали на дейността на PowerShell.

ViperSoftX беше забелязан за първи път през 2020 г. от специалисти на Fortinet. Този злонамерен софтуер е способен да ексфилтрира значителни данни от компрометирани Windows системи. Освен това непрекъснато се подобрява: неговите автори усвояват нови стелт техники и добавят инструменти за анти-анализ.

През май 2024 г. беше засечена кампания, в която ViperSoftX е използван за разпространение на троянския кон за отдалечен достъп Quasar RAT и крадеца на информация TesseactStealer.

Изкуството на маскировката

Злонамерените програми често се разпространяват под прикритието на пиратски софтуер чрез торенти. За първи път обаче зловреден софтуер се разпространява под прикритието на електронни книги. На потенциалната жертва се предлага да изтегли не файла директно на електронния четец, а архив в RAR формат, който съдържа скрита директория и файл с бърз достъп, симулиращ безвреден документ.

Когато този файл се отвори, започва многоетапен процес на заразяване: на първия етап кодът на PowerShell се разопакова и стартира, което разкрива скритата директория и инсталира нейните инструменти за постоянно присъствие в системата; след това се стартира скриптът AutoIt, който взаимодейства с рамката .NET CLR, за да дешифрира и изпълни втория скрипт на PowerShell – всъщност тялото на самия ViperSoftX.

Както отбелязват експертите на Trellix, AutoIt не поддържа .NET CLR по подразбиране, но потребителят може да дефинира определени функции на този език, които осигуряват достъп до CLR библиотеката. В резултат на това нападателите получават достъп до широките възможности на PowerShell.

ViperSoftX също така е способен да модифицира интерфейса за сканиране на AMSI (Antimalware Scan Interface), преди да стартира PowerShell скриптове, като по този начин си осигурява допълнителна невидимост от традиционните инструменти за информационна сигурност.

От контрол на крипто портфейли до отдалечен достъп

След като се настани в устройството на жертвата, зловредният софтуер свободно събира системна информация, търси разширения на браузъра, съответстващи на крипто портфейли, и прихваща съдържанието на клипборда.

Освен това може да изтегля и изпълнява допълнителни компоненти, както и да изпълнява команди от отдалечен сървър. В случай на навлизане в инструменти за отстраняване на грешки е предвиден механизъм за самоотстраняване.

Авторите на зловреден софтуер са най-креативни, когато става въпрос за стелт и измама, и това е мястото, където надпреварата във въоръжаването с разработчиците на инструменти за сигурност изглежда безкрайна, коментират специалисти.

Коментар