現在のViperSoftX
ViperSoftXはインフォスティーラー型のマルウェアです。
他のマルウェア同様時間とともに更新されていきます。
ViperSoftXが最初に観測されてから時間が経過しており、マルウェアは変更されてきています。
現在のViperSoftXはどういったものでしょうか。
- 侵入経路
入口はクラックソフトウェアです。
有償のソフトウェアは正しいライセンスを入手して利用するものですが、それを回避することができると謳ったソフトウェアを装います。
アクティベーションしますよ、とか、パッチをあてたら使えるようになりますよ、とか、ライセンスキーを生成しますよ、といった具合です。
こういったものとしてダウンロードを促します。 - 配布形式
マルウェアはそのまま実行できるものとして配布されているわけではありません。
運び屋として利用される悪意のない実行ファイルとそれが動作時に読み込んで利用するDLLのセットで配布されます。
そしてDLLサイドローディングを使って悪意ある機構の動作を開始します。 - 侵害環境の検査
いまどきのマルウェアにはこの種の機能が搭載されていることが多くなっています。
ViperSoftXにも搭載されています。
VM環境であるかを検査します。プロセスモニタリング機構が存在しているかを検査します。さらに、アンチウイルス製品の状態も確認します。
これらの検査でマルウェアを展開しても大丈夫となった場合、次の段階に進みます。 - 多段感染
DLLサイドローディングで始まった感染機構はその後何段階かに分割して感染活動を進行します。
その途中で分析を困難化するための技法も利用されています。
バイトマッピングという技法です。
よくあるいわゆる暗号化手法ではなく、あらかじめ予定された内容でバイトを再配置することで動作できる状態になる、というものです。
機構は単純ですが、正しい配置情報が入手できないと実行可能状態にすることができないという機構上の特徴があります。 - C2の分析回避
C2はWebサーバとして配置されていてマルウェアから利用されます。
しかしHTTPヘッダを読み取ってマルウェアからのみ利用できることを狙った実装が施されています。
通常のWebブラウザの使用するUser-Agentが含まれる状態でC2にアクセスするとエラーとなるように実装されています。 - 目的の活動
インフォスティーラーですので、目的は情報の盗み出しです。
さまざまな暗号資産の情報を盗み出します。
パスワードマネージャーから認証情報も盗み出します。
このようにViperSoftXはいろいろな手法を使って展開するように実装されています。
しかし現時点では大丈夫かもしれません。
現在のViperSoftXは入口がクラックソフトウェアです。
そもそもクラックソフトウェアに手を出さなければViperSoftXには感染しない、といえるかもしれません。
清く正しい生活を心がけていこうと思います。
参考記事(外部リンク):ViperSoftX Updates Encryption, Steals Data
www.trendmicro.com/en_us/research/23/d/vipersoftx-updates-encryption-steals-data.html
