VIPERSOFTX: мощная угроза кражи криптовалют через сложные атаки
Источник: asec.ahnlab.com
Аналитический центр безопасности Ahnlab (ASEC) опубликовал новый отчет о продолжающейся деятельности киберпреступной группы VIPERSOFTX, которая сосредоточена на атаках на пользователей, обладающих криптовалютой. Особенностью их вредоносного ПО является целенаправленный сбор данных, а также кража средств посредством перехвата операций с криптовалютными кошельками.
Что такое VIPERSOFTX и какие угрозы оно несет
VIPERSOFTX — это разновидность вредоносного ПО, разработанная для выполнения команд злоумышленников и получения информации, связанной с криптовалютой. Это вредоносное ПО эволюционировало с момента появления в 2020 году, расширив функционал за счет включения дополнительных компонентов, таких как PureCryPter и Purehvnc. Всё это значительно увеличило возможности атакующих.
- PureCryPter — служит для доставки полезной нагрузки и обхода средств защиты.
- Purehvnc — обеспечивает полный удаленный контроль над зараженной системой.
- Quasar RAT — используется для удаленного управления, регистрации нажатий клавиш и сбора учетных данных.
Основные методы и тактики распространения
Основная стратегия проникновения VIPERSOFTX строится на маскировке вредоносного ПО под взломы или активаторы (ключи) для легального программного обеспечения, что вызывает доверие у пользователей. Распространение происходит через торрент-сайты и вредоносные электронные письма – популярные методы социальной инженерии.
Несмотря на то, что злоумышленники не являются корейцами, они успешно инфицировали большое число локальных пользователей, что свидетельствует о высокой эффективности тактик вопреки региональным особенностям.
Технические подробности и функционал вредоносных скриптов
На скомпрометированных устройствах создаются запланированные задачи, которые регулярно запускают вредоносные скрипты PowerShell. Они выполняют следующие действия:
- загрузка дополнительных вредоносных модулей;
- расшифровка и выполнение закодированных команд;
- считывание данных из специальных путей для извлечения встроенной информации;
- использование DNS-запросов для получения конфигураций сервера управления (C&C) и обмена зашифрованными сообщениями.
Особое внимание стоит уделить функции защиты и перехвата буфера обмена. Вредоносное ПО распознаёт ключевые фразы, связанные с криптовалютными кошельками и адресами. Когда пользователь копирует адрес своего кошелька, вредоносная программа меняет его на адрес злоумышленника, что приводит к незаметному переводу средств на мошеннические счета.
Использование Quasar RAT и связанных инструментов
Среди дополнительных возможностей VIPERSOFTX — внедрение Quasar RAT, который облегчает сбор персональных данных. Эта программа позволяет злоумышленникам:
- регистрировать нажатия клавиш;
- извлекать учетные данные;
- получать удалённый доступ для контроля над системой;
- обеспечивать непрерывное выполнение вредоносных функций.
Другие инструменты, такие как PureCryPter и Purehvnc, предназначены соответственно для уклонения от обнаружения и усиления контроля над заражённой машиной, что делает всю систему злоумышленников сложной и многоуровневой.
Рекомендации для пользователей
С учетом описанной активности VIPERSOFTX важно сохранять повышенную бдительность, особенно при работе с криптовалютными приложениями и файлами, скачанными из непроверенных источников. Рекомендуется:
- избегать скачивания программ с торрент-сайтов;
- не открывать подозрительные или неожиданные электронные письма и вложения;
- использовать надежные антивирусные решения и регулярно обновлять их;
- настороженно относиться к предложениям активировать софт с помощью сторонних ключей и взломанных версий;
- проводить регулярное резервное копирование важных данных.
VIPERSOFTX — яркий пример того, как современные киберпреступники совершенствуют инструменты и тактики для кражи цифровых активов. Только комплексный подход к безопасности поможет защититься от этих угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
