Ngày 28 tháng 4 năm 2023Ravie LakshmananBảo mật dữ liệu / Phần mềm độc hại
Một số lượng đáng kể nạn nhân trong lĩnh vực người tiêu dùng và doanh nghiệp ở Úc, Nhật Bản, Hoa Kỳ và Ấn Độ đã bị ảnh hưởng bởi một phần mềm độc hại đánh cắp thông tin có tên ViperSoftX.
ViperSoftX lần đầu tiên được ghi nhận vào năm 2020, với công ty an ninh mạng Avast nêu chi tiết một chiến dịch vào tháng 11 năm 2022 đã tận dụng phần mềm độc hại để phân phối tiện ích mở rộng độc hại của Google Chrome có khả năng hút tiền điện tử từ các ứng dụng ví.
Giờ đây, một phân tích mới từ Trend Micro đã tiết lộ việc phần mềm độc hại này áp dụng “các kỹ thuật mã hóa tinh vi hơn và chống phân tích cơ bản, chẳng hạn như ánh xạ lại byte và chặn giao tiếp trình duyệt web”.
Vectơ đến của ViperSoftX thường là phần mềm bẻ khóa hoặc trình tạo khóa (keygen), đồng thời sử dụng phần mềm không độc hại thực tế như trình chỉnh sửa đa phương tiện và ứng dụng dọn dẹp hệ thống làm “nhà cung cấp dịch vụ”.
Một trong những bước quan trọng được thực hiện bởi phần mềm độc hại trước khi tải xuống trình tải PowerShell giai đoạn đầu tiên là một loạt kiểm tra chống máy ảo, chống giám sát và chống phần mềm độc hại.
Sau đó, trình tải sẽ giải mã và thực thi tập lệnh PowerShell giai đoạn hai được truy xuất từ một máy chủ từ xa, sau đó tập lệnh này sẽ đảm nhiệm việc khởi chạy quy trình chính chịu trách nhiệm cài đặt các tiện ích mở rộng trình duyệt giả mạo để lấy cắp mật khẩu và dữ liệu ví tiền điện tử.
Để giảm nhẹ, người dùng chỉ nên tải xuống phần mềm từ các nguồn và nền tảng chính thức, đồng thời tránh tải xuống phần mềm bất hợp pháp.
Ovid Ladores cho biết thêm: “Tội phạm mạng đứng sau ViperSoftX cũng đủ kỹ năng để thực hiện một chuỗi liền mạch nhằm thực thi phần mềm độc hại trong khi vẫn nằm trong tầm ngắm của các cơ quan chức năng bằng cách chọn một trong những phương pháp hiệu quả nhất để phân phối phần mềm độc hại cho người tiêu dùng”.
