ViperSoftX: майнер Monero и RAT в виде кряков

Исследователи кибербезопасности обнаружили, что злоумышленник ViperSoftX использует сложный набор методов для установки майнера монет Monero на скомпрометированные системы, одновременно обеспечивая злоумышленникам функции трояна удалённого доступа (RAT). Впервые обнаруженный в 2020 году, ViperSoftX маскируется под легальное ПО и эволюционировал от простого кражи криптовалютных адресов до многофункциональной угрозы с возможностью установки дополнительного вредоносного ПО.

Маскировка и вектор распространения

Злоумышленники распространяют ViperSoftX под видом популярных нелицензированных продуктов — преимущественно в виде кряков, keygens, а также электронных книг. Такая маскировка повышает вероятность установки вредоносного ПО пользователями, надеющимися получить легитимные программы бесплатно.

Ключевые возможности вредоносного ПО

• Кража криптовалютных адресов — изначально основная цель вредоноса.
• Манипулирование буфером обмена — подмена скопированных пользователем адресов кошельков.
• Установка дополнительного ПО — загрузчик и исполнитель стороннего вредоносного кода.
• Майннинг — встроенная интеграция с XMRig, позволяющая добывать Monero на ресурсах заражённой машины.
• Функции RAT — возможности удалённого управления и сбора данных через связанное ПО.

Технические механизмы реализации

Новый анализ показывает, что ViperSoftX использует планировщик задач в заражённых системах для запуска вредоносного PowerShell-скрипта. Типичный сценарий включает чтение зашифрованных смещений в замаскированных файлах или выполнение команд, хранящихся в системном реестре.

«ViperSoftX использует планировщик задач в заражённых системах для выполнения вредоносного сценария PowerShell, включая чтение зашифрованных смещений и выполнение команд из реестра»

Инфраструктура командования и контроля (C&C) злоумышленников применяет алгоритмы генерации доменов (DGA) и использует DNS TXT-записи для поддержания связи и закрепления в процессе заражения.

Сопутствующие инструменты — QuasarRAT и PureRAT

Помимо ViperSoftX злоумышленники применяют QuasarRAT и PureRAT для получения удалённого контроля над устройствами:

• QuasarRAT — инструмент с открытым исходным кодом на .NET, предоставляющий возможности контроля за процессами и выполнение удалённых команд.
• PureRAT — содержит функции keylogging и перехвата буфера обмена, что расширяет возможности по сбору конфиденциальной информации.

Комбинация этих инструментов даёт злоумышленникам широкий контроль над системой и доступ к ценным пользовательским данным.

Тренды и последствия

Интеграция возможностей майнинга в ViperSoftX (через внутренние конфигурации XMRig) указывает на двойную цель современных киберпреступников: не только сохранить доступ к системе, но и извлечь финансовую выгоду за счёт криптомайнинга. Такая тактика отражает более широкую тенденцию, при которой угрозы становятся мультифункциональными — сочетая шпионаж, кражу данных и прямую монетизацию ресурсов жертвы.

Вывод

ViperSoftX вместе с сопутствующими RAT представляет значительный риск для пользователей, особенно тех, кто работает с криптовалютой. Постоянные методы распространения и развивающиеся функциональные возможности подчёркивают, что ландшафт угроз остаётся динамичным: злоумышленники адаптируют свои инструменты для эксплуатации уязвимостей и получения финансовой выгоды, ставя под угрозу безопасность конечных пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.