ViperSoftXとVenomSoftX
これらはどちらもインフォスティーラーマルウェアです。
情報を抜き取っていきます。
ViperSoftXは2020年くらいから観測されているものです。
ViperSoftXは活動の中で他のマルウェアも持ち込むのですが、その一つに対して個別に名前が付けられました。
それがVenomSoftXです。
- 入口
いわゆるクラックソフトウェアの形で侵害先に入ってきます。
配布環境はBitTorrentです。
配布時のファイル名はActivator.exeまたはPatch.exeです。 - 2段階目
Activator.exeまたはPatch.exeはローダーです。
自分のバイナリの中にあるデータを取り出します。
データはAESで暗号化された状態で含まれていて、現在確認されているケースでは5つのファイルとして取り出されます。 - 3段階目
前段階で取り出したファイルからさらに中身を取り出します。
取り出せたものはViperSoftXです。
PowerShellスクリプトとして実装されています。
侵害環境のコンピュータの各種情報を収集し、環境に存在する暗号資産を探します。
そしてクリップボードを監視し、ウォレットアドレスがコピーされる瞬間を狙ってアドレスを差し替えます。
クリップボードスワッピングです。
他にも任意コマンドの実行機能やC2から追加モジュールをダウンロードして実行したりする機能を持ちます。 - 4段階目
ViperSoftXがもってくる追加マルウェアの中の一つにVenomSoftXがあります。
これが4段階目として動作します。
VenomSoftXはChromeベースのブラウザで動作するブラウザ拡張機能の形式です。
こちらもインフォスティーラーです。
ViperSoftXと同じく暗号資産を狙うのですが、こちらの作戦はAPIリクエストのフックです。
人気のある暗号資産の提供するAPIコールを監視し、検出するとAPIコールの内容の送金先部分を改ざんします。
やっていることの意味合いとしてはクリップボードスワッピングに似ていますが、その実装はもう少し込み入っています。
man-in-the-browser攻撃にはこのような形式もあるのですね。
ブラウザ拡張機能の形式で活動するマルウェアは以前から多数観測されています。
しかし最近では、始まり部分を別の方法で実装し、活動するファイルをブラウザ拡張機能の形式で保持するタイプの攻撃がいくつか出てきています。
隠し場所としてのブラウザ拡張機能という作戦、確実にひっそりと広がってきていると感じます。
参考記事(外部リンク):ViperSoftX: Hiding in System Logs and Spreading
VenomSoftX
decoded.avast.io/janrubin/vipersoftx-hiding-in-system-logs-and-spreading-venomsoftx/
