Kripto para birimini ve pano içeriğini çalmak amacıyla, VenomSoftX adlı bir Google Chrome uzantısını kullanan bir Windows kötü amaçlı yazılımı olan Avast’taki güvenlik analistleri tarafından ViperSoftX tespit edildi.
JavaScript tabanlı bir RAT ve kripto korsanı, sürekli olarak kripto para birimini ve pano içeriğini çalmaya çalışan bu Chrome uzantısında gizlidir.
2022’nin başından bu yana aşağıdaki ülkelerde Avast uzmanları tarafından yaklaşık 93.000 ViperSoftX bulaşma girişimi tespit edildi ve stabilize edildi:-
- Birleşik Devletler
- İtalya
- Hindistan
- Brezilya
Krizden en çok etkilenen ülkeler ise şöyle:
- Hindistan (7.000+)
- ABD (6.000+)
- İtalya (5.000+)
Ayrıca, bu uzantı, Chrome’a ek olarak aşağıdakiler dahil diğer web tarayıcılarını da ele geçirebilir: –
- Safari
- Firefox
- Cesur
- Kenar
- Opera
Güvenlik araştırmacıları Cerberus ve Colin Cowie, 2020’de ViperSoftX hakkında 2020’den beri dolaşımda olduğunu belirten veriler yayınladı.
Kötü Amaçlı Yazılımın Yetenekleri
Kötü amaçlı uzantı, kurbanın ziyaret ettiği her sayfaya tam erişim sağlamanın yanı sıra, aşağıdakiler de dahil olmak üzere bir dizi başka yetenek de sağlar:-
- Tarayıcıda adam tekniğini kullanarak kullanıcıya saldırır.
- API verilerini değiştirerek popüler kripto para borsalarındaki kripto para birimi adreslerini değiştirin.
- Kimlik bilgilerini çalmak.
- Pano içeriğini çal.
- Davetsiz misafirler, ziyaret ettikleri web sitelerindeki kriptografik adresleri kurcalamaya çalışır.
- Olay raporlarını MQTT yoluyla bir komuta ve kontrol sunucusuna gönderin.
- İsteğe bağlı komut yürütme.
- C2’den faydalı yüklerin indirilmesi.
Finansal Kazançlar
VenomSoftX ve ViperSoftX, kripto varlıklarını çalmak için virüs bulaşmış bilgisayarları hedefleyen kötü amaçlı yazılım programlarıdır. Aşağıda, parasal kazançlarının tahmini istatistiklerinden bahsetmiştik: –
8 Kasım 2022 itibariyle, çalınan kripto para birimini yeniden yönlendiren ViperSoftX ve VenomSoftX operatörlerinin cüzdanlarında yaklaşık 130.421,56 dolar bulunmaktadır.
Bu rakam sadece kripto para birimleri için cüzdanlara gönderilen tutarı içerdiğinden, bu tutar ile diğer faaliyetlerden elde edilebilecek diğer kazançlar arasında bir fark vardır.
Enfeksiyon Zinciri
ViperSoftX çoğunlukla, torrent dosyalarına gömülü crackli yazılım ve oyun crack’lerini içeren torrent dosyaları aracılığıyla dağıtılır.
Dosyayı indirdikten sonra, aşağıdaki dosyaları oluşturmak amacıyla AES verilerinin kodunu çözen bir kötü amaçlı yazılım yükleyici olan bir yürütülebilir dosya içeren bir dosya bulacaksınız: –
- ViperSoftX PowerShell ile sonuçlanan gizli bir ek yükü olan bir günlük dosyası
- Görev zamanlayıcı için XML dosyası
- Kalıcılık için zamanlanmış bir görev oluşturmak için kullanılan SyncAppvPublishingServer.vbs
- Kırılması gereken uygulama ikili dosyası
- Manifest dosyası
Kötü amaçlı kod satırı çalıştırılır çalıştırılmaz, 5MB günlük dosyasının alt kısmına doğru gizlenmiş olan ViperSoftX hırsızı adlı yükün şifresini çözmeye başlar.
Uzantının amacı, kurbanlar tarafından tespit edilmekten kaçınmak için kendisini “Google Sheets 2.1” adlı bir Google üretkenlik uygulaması olarak gizlemektir.
Görünüşe göre VenomSoftX ve ViperSoftX etkinlikleri, her ikisi de kurbanların sahip olduğu kripto para birimi varlıklarını hedef aldığı için biraz örtüşüyor. Hırsızlığı tamamlamak için farklı bir yöntemi olduğu için başarılı olma şansı daha yüksek olacaktır.
Hedeflenen Hizmetler
Aşağıdakiler de dahil olmak üzere VenomSoftX tarafından hedeflenen birkaç hizmet vardır:
- Blockchain.com
- Binance
- Coinbase
- Gate.io
- Kucoin
Uzantı, panoyu izlemenin yanı sıra herhangi bir cüzdan adresinin panoya kopyalanıp kopyalanmadığını da izler. Bir kullanıcının kripto para cüzdan adresi de bu uzantının yardımıyla web sitesindeki HTML değiştirilerek bir web sitesinde görüntülenebilir.
Uzantı, bu süreçte ödemeleri yalnızca tehdit aktörüne yönlendirmekle kalmaz, aynı zamanda arka planda bunu mümkün kılan unsurları da kontrol eder.
Kötü amaçlı uzantının bilgisayarınızdan tamamen kaldırıldığından emin olmak için uzantının kaldırılması ve tarayıcı verilerinin temizlenmesi gerekir.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin