Araştırmacılar, ilk olarak 2020’de tespit edilen ViperSoftX bilgi çalma kötü amaçlı yazılımında gelişmeler gözlemlediler. Kötü amaçlı yazılım, korsan e-kitap kopyaları aracılığıyla dağıtılan AutoIt betikleri içinde PowerShell komutlarını çalıştırmak için Ortak Dil Çalışma Zamanı’nın (CLR) dahil edilmesiyle geliştirilen daha karmaşık kaçınma taktikleri kullanmaya doğru ilerledi.
Bu akıllıca numara, kötü amaçlı yazılımın meşru sistem faaliyetleriyle karışmasını sağlayarak güvenlik çözümlerinin onu tespit etmesini zorlaştırıyor.
ViperSoftX e-Kitaplarda Truva Atı Olarak Dağıtıldı
ViperSoftX, e-Kitaplar gibi görünerek torrent siteleri aracılığıyla yayılır. ViperSoftX’in enfeksiyon zinciri, kullanıcıların gizli bir klasör, zararsız bir PDF veya e-Kitap gibi görünen aldatıcı bir kısayol dosyası ve basit JPG resim dosyaları gibi görünen bir PowerShell betiği, AutoIt.exe ve AutoIt betiği içeren indirilen RAR arşivine erişmesiyle başlar.
Kullanıcı kısayol dosyasına tıkladığında, “zz1Cover4.jpg”nin içeriklerini listeleyerek başlayan bir komut dizisi başlatır. Daha sonra, komutların akıllıca boşluklar içine gizlendiği bu dosyadaki her satırı bir Powershell Komut İstemi’ne okur ve böylece birden fazla komutun yürütülmesini etkili bir şekilde otomatikleştirir.
Trellix’ten araştırmacılar, PowerShell kodunun gizli klasörü görünür kılmak, tüm disk sürücülerinin toplam boyutunu hesaplamak ve Windows Görev Zamanlayıcısı’nı kullanıcı oturum açtıktan sonra her beş dakikada bir AutoIt3.exe’yi çalıştıracak şekilde yapılandırmak gibi çeşitli eylemler gerçekleştirdiğini ve böylece enfekte olmuş sistemlerde kalıcılık mekanizmalarının etkin bir şekilde kurulduğunu belirtiyor.
Kötü amaçlı yazılım ayrıca iki dosyayı %APPDATA%MicrosoftWindows dizinine kopyalıyor ve bunlardan birinin adını .au3, diğerinin adını ise AutoIt3.exe olarak değiştiriyor.
ViperSoftX’in Gelişmişliğini Artırma
Kötü amaçlı yazılımın PowerShell’i AutoIt içinde çalıştırmak için CLR’yi kullanması özellikle sinsi. Genellikle Windows görevlerini otomatikleştirmek için kullanılan AutoIt, güvenlik yazılımları tarafından sıklıkla güvenilirdir. Bu güvene dayanarak ViperSoftX radar altında uçabilir.
Kötü amaçlı yazılım, gerçek doğasını gizlemek için ağır karartma, aldatma ve şifreleme biçiminde ek numaralar kullanır. ViperSoftX, görüntü aldatmaca dosyalarından çıkarılan PowerShell betiklerindeki komutları gizlemek için ağır Base64 karartma ve AES şifrelemesi kullanır. Bu düzeyde karartma, hem araştırmacıları hem de analiz araçlarını zorlar ve kötü amaçlı yazılımın işlevselliğini ve amacını çözmeyi daha da zorlaştırır.
Kötü amaçlı yazılım, betiklerine karşı çalıştırılan güvenlik kontrollerini atlatmak için Antimalware Scan Interface’i (AMSI) bile değiştirmeye çalışır. Mevcut betiklerden yararlanarak, kötü amaçlı yazılım geliştiricileri geliştirmeyi hızlandırır ve kaçınma taktiklerini iyileştirmeye odaklanır,
Kötü amaçlı yazılımın ağ etkinliğinin analizi, trafiği meşru sistem etkinliğiyle karıştırma girişimlerini göstermektedir. Araştırmacılar, security-microsoft gibi aldatıcı ana bilgisayar adlarının kullanımını gözlemlediler[.]Kötü amaçlı yazılımın daha güvenilir görünmesini ve kurbanlarını yanıltarak trafik aktivitesini Microsoft ile ilişkilendirmesini sağlamak için.
Şüpheli bir Base64 kodlu Kullanıcı Aracısı dizesinin analizi, enfekte sistemlerden PowerShell komut yürütme yoluyla çıkarılan mantıksal disk birimi seri numarası, bilgisayar adı, kullanıcı adı, işletim sistemi sürümü, antivirüs ürünü bilgileri ve kripto para birimi ayrıntıları dahil olmak üzere ayrıntılı miktarda sistem bilgisini ortaya çıkardı.
Araştırmacılar, ViperSoftX’in operasyonlarındaki artan karmaşıklığa karşı uyarıyor; çünkü geleneksel güvenlik önlemlerini atlatırken kötü amaçlı işlevler yürütme yeteneği onu zorlu bir rakip haline getiriyor.