ViperSoftX, 2020 yılında ortaya çıkmasından bu yana daha da karmaşık hale gelen, Torrent sitelerindeki e-kitapların sistemlere yayılmasına neden olan gelişmiş bir kötü amaçlı yazılımdır.
Diğer kötü amaçlı yazılım geliştiricilerinin aksine, kaçınma tekniklerini geliştirmek yerine esas olarak yeni kod geliştirmeye odaklanan ViperSoftX’in yaratıcıları, saldırgan güvenlik betiklerindeki çeşitli bileşenleri kullanır.
Bu nedenle ViperSoftX, etkili karşı önlemler almak isteyen kullanıcılar için büyük bir tehdit oluşturmaktadır.
Güçlü önleyici tedbirlerin geliştirilmesi için enfeksiyon zincirinin, yük yürütmenin ve gizli tekniklerin önemli ölçüde anlaşılması gerekiyor.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
Trellix’teki siber güvenlik araştırmacıları yakın zamanda kötü amaçlı yazılımın en yeni sürümünün PowerShell komutlarını AutoIt’e dinamik olarak yüklemek için CLR (Ortak Dil Çalışma Zamanı) kullandığını ve buna karşılık kendi kaçınma yeteneklerini ve gizli PowerShell yürütmesini geliştirdiğini keşfetti.
ViperSoftX AutoIt ve CLR’yi Silahlandırıyor
Her şey, kurbanların sahte bir torrentten meşru gibi görünen bir kitabı indirmesiyle başlıyor.
Bu RAR arşivi klasör, aldatıcı kısayol dosyaları ve resim gibi görünen scriptler gibi gizli tehditler içeriyor.
.webp)
Kısayol çalıştırıldığında, gizli klasörü ortaya çıkaran, diskin boyutlarını belirli bir şekilde adlandıran, kalıcı Windows görevleri oluşturan ve gizli AutoIt betiklerini işletim sistemine bırakan bir dizi komutu tetikler.
.webp)
Bu karmaşık çok aşamalı saldırı, tespit edilmekten kaçınarak kötü amaçlı yazılımları dağıtmak için dosya karartma ve otomasyondan yararlanıyor.
.webp)
Araştırmacılar, AutoIt’in .NET CLR çerçevesiyle etkileşim kurma yeteneğinden yararlanarak PowerShell komut yürütmeyi mümkün kıldığını söyledi.
Kötü amaçlı yazılım, AMSI’den kaçınmak, çok katmanlı yükleri şifresini çözmek ve kripto para cüzdanlarını hedeflemek için sistemden bilgi toplamak amacıyla gelişmiş mekanizmalar kullanıyor.
Daha sonra, son derece ayrıntılı kullanıcı sistem bilgilerini de içeren veriler, sahte ana bilgisayar adları ve Base64 ile kodlanmış kullanıcı aracıları aracılığıyla C2 sunucusuna gönderilir.
Bu katmanlı kaçınma tekniği ve meşru trafik harmanlaması sayesinde ViperSoftX, kripto paraları tespit etmeden veya çalmadan hedeflenen sistemlere başarıyla sızabilir.
Toplanan verileri uzak bir sunucuya göndermek için pOPSKX fonksiyonu bir web istemcisi kurar, başlıkları ayarlar ve kaçınma amacıyla 0 içerik uzunluğuna sahip anormal bir POST isteği gönderir.
Daha sonra sunucunun “worker” başlığını kontrol ederek daha fazla çalışmaya ihtiyaç olup olmadığını ve genel worker değişkeninin true mu yoksa false mu olması gerektiğini belirler.
Ayrıca trafiğin nereden geldiğini gizleyerek izlenmesini imkansız hale getiren Cloudflare hizmetleri de bulunmaktadır.
ViperSoftx zararlı yazılımı ilgili bilgileri kendisi buluyor, not alıyor ve bu verileri komuta ve kontrol (C2) sunucularıyla paylaşıyor.
Daha sonra Windows sistemlerinin panosunda bulunan ekran görüntüleri üzerinde ekran görüntüleri alır, internette başka zararlı yazılımlar arar, hedeflere karşı keşif araçları veya yardımcı programları çalıştırır ve gerektiğinde kendini imha mekanizmasını kullanır.
CLR ile PowerShell, Antimalware Scan Interface (AMSI) tarafından tespit edilmekten ve yama yapmaktan kaçınmak için AutoIt’te çalıştırılabilir.
ViperSoftX’in taktiklerini anlamak ve kapsamlı savunmalar geliştirmek, tehdidini azaltabilir.
“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo