De geavanceerde malware ViperSoftX wordt verspreid als e-books via torrents.
“Een opvallend aspect van de huidige variant van ViperSoftX is dat deze gebruikmaakt van de Common Language Runtime (CLR) om PowerShell-opdrachten dynamisch te laden en uit te voeren. Zo wordt binnen AutoIt een PowerShell-omgeving gecreëerd voor bewerkingen”, aldus Trellix-beveiligingsonderzoekers Mathanraj Thangaraju en Sijo Jacob.
“Door CLR te gebruiken, kan ViperSoftX naadloos PowerShell-functionaliteit integreren, waardoor het schadelijke functies kan uitvoeren en detectiemechanismen kan omzeilen die anders zelfstandige PowerShell-activiteiten zouden kunnen signaleren.”
ViperSoftX werd voor het eerst ontdekt door Fortinet in 2020 en staat bekend om zijn vermogen om gevoelige informatie te exfiltreren van gecompromitteerde Windows-hosts. In de loop der jaren is de malware een relevant voorbeeld geworden van dreigingsactoren die hun tactieken voortdurend innoveren in een poging om onopgemerkt te blijven en verdedigingen te omzeilen.
Een voorbeeld hiervan is de toegenomen complexiteit en de invoering van geavanceerde anti-analysetechnieken, zoals byte remapping en blokkering van webbrowsercommunicatie, zoals gedocumenteerd door Trend Micro in april 2023.
Nog in mei 2024 maakten kwaadaardige campagnes gebruik van ViperSoftX als verspreidingsmiddel voor Quasar RAT en een andere informatiedief genaamd TesseractStealer.
Het is bekend dat aanvalsketens die de malware verspreiden gebruikmaken van gekraakte software en torrentsites, maar het gebruik van eBook-lokmiddelen is een pas waargenomen aanpak. In het veronderstelde eBook RAR-archiefbestand bevindt zich een verborgen map en een misleidend Windows-snelkoppelingsbestand dat zich voordoet als een onschuldig document.
Wanneer u het snelkoppelingsbestand uitvoert, wordt een infectiesequentie in meerdere fasen gestart. Deze begint met het extraheren van PowerShell-code waarmee de verborgen map zichtbaar wordt gemaakt en persistentie op het systeem wordt ingesteld om een AutoIt-script te starten dat op zijn beurt communiceert met het .NET CLR-framework om een secundair PowerShell-script, namelijk ViperSoftX, te decoderen en uit te voeren.
“AutoIt ondersteunt standaard niet de .NET Common Language Runtime (CLR)”, aldus de onderzoekers. “De door de gebruiker gedefinieerde functies (UDF) van de taal bieden echter een gateway naar de CLR-bibliotheek, waardoor kwaadwillende actoren toegang krijgen tot de formidabele mogelijkheden van PowerShell.”
ViperSoftX verzamelt systeeminformatie, scant naar cryptocurrency wallets via browserextensies, legt klembordinhoud vast en downloadt en voert dynamisch extra payloads en opdrachten uit op basis van reacties die van een externe server zijn ontvangen. Het wordt ook geleverd met zelfverwijderingsmechanismen om detectie uit te dagen.
“Een van de kenmerkende eigenschappen van ViperSoftX is het bekwame gebruik van de Common Language Runtime (CLR) om PowerShell-bewerkingen binnen de AutoIt-omgeving te orkestreren,” aldus de onderzoekers. “Deze integratie maakt naadloze uitvoering van kwaadaardige functies mogelijk, terwijl detectiemechanismen worden ontweken die doorgaans standalone PowerShell-activiteit markeren.”
“Bovendien onderstreept het vermogen van ViperSoftX om de Antimalware Scan Interface (AMSI) te patchen voordat PowerShell-scripts worden uitgevoerd, de vastberadenheid van het bedrijf om traditionele beveiligingsmaatregelen te omzeilen.”
