ViperSoftX olarak bilinen karmaşık kötü amaçlı yazılımın torrentler üzerinden e-kitap olarak dağıtıldığı gözlemlendi.
Trellix güvenlik araştırmacıları Mathanraj Thangaraju ve Sijo Jacob, “ViperSoftX’in mevcut sürümünün dikkat çekici bir yönü, PowerShell komutlarını dinamik olarak yüklemek ve çalıştırmak için Ortak Dil Çalışma Zamanı’nı (CLR) kullanması ve böylece işlemler için AutoIt içinde bir PowerShell ortamı oluşturmasıdır” dedi.
“CLR’yi kullanarak ViperSoftX, PowerShell işlevselliğini sorunsuz bir şekilde entegre edebilir ve bu sayede, bağımsız PowerShell etkinliğini işaretleyebilecek algılama mekanizmalarından kaçınırken kötü amaçlı işlevleri yürütebilir.”
İlk olarak 2020 yılında Fortinet tarafından tespit edilen ViperSoftX, tehlikeye atılmış Windows ana bilgisayarlarından hassas bilgileri sızdırma yeteneğiyle bilinir. Yıllar geçtikçe, kötü amaçlı yazılım tehdit aktörlerinin gizli kalmak ve savunmaları aşmak için taktiklerini sürekli olarak yenilemelerinin önemli bir örneği haline geldi.
Bu durum, Trend Micro’nun Nisan 2023’te belgelediği gibi, bayt yeniden eşleme ve web tarayıcısı iletişimini engelleme gibi gelişmiş anti-analiz tekniklerinin artan karmaşıklığı ve benimsenmesiyle örneklendirilebilir.
Daha Mayıs 2024’te kötü niyetli kampanyalar, Quasar RAT ve TesseractStealer adlı başka bir bilgi hırsızını dağıtmak için ViperSoftX’i bir teslimat aracı olarak kullandı.
Kötü amaçlı yazılımı yayan saldırı zincirlerinin, kırık yazılım ve torrent sitelerini kullandığı biliniyor, ancak e-kitap cazibelerinin kullanımı yeni gözlemlenen bir yaklaşım. Varsayılan e-kitap RAR arşiv dosyasının içinde gizli bir klasör ve iyi huylu bir belge gibi görünen aldatıcı bir Windows kısayol dosyası da mevcut.
Kısayol dosyasının yürütülmesi, gizlenmiş klasörü ortaya çıkaran ve sistemde kalıcılığı ayarlayan bir AutoIt betiğini başlatan PowerShell kodunun çıkarılmasıyla başlayan çok aşamalı bir enfeksiyon dizisini başlatır; bu betik de .NET CLR çerçevesiyle etkileşime girerek ikincil bir PowerShell betiği olan ViperSoftX’i şifresini çözer ve çalıştırır.
Araştırmacılar, “AutoIt varsayılan olarak .NET Common Language Runtime’ı (CLR) desteklemiyor” dedi. “Ancak, dilin kullanıcı tanımlı işlevleri (UDF), kötü niyetli aktörlerin PowerShell’in müthiş yeteneklerine erişmesini sağlayarak CLR kitaplığına bir geçit sunuyor.”
ViperSoftX sistem bilgilerini toplar, tarayıcı uzantıları aracılığıyla kripto para cüzdanlarını tarar, pano içeriklerini yakalar ve uzak bir sunucudan alınan yanıtlara göre ek yükleri ve komutları dinamik olarak indirir ve çalıştırır. Ayrıca, algılamayı zorlamak için kendi kendini silme mekanizmalarıyla birlikte gelir.
Araştırmacılar, “ViperSoftX’in ayırt edici özelliklerinden biri, AutoIt ortamında PowerShell işlemlerini düzenlemek için Common Language Runtime’ı (CLR) ustaca kullanmasıdır” dedi. “Bu entegrasyon, genellikle tek başına PowerShell etkinliğini işaretleyecek olan algılama mekanizmalarından kaçınırken kötü amaçlı işlevlerin sorunsuz bir şekilde yürütülmesini sağlar.”
“Ayrıca, ViperSoftX’in PowerShell betiklerini çalıştırmadan önce Antimalware Tarama Arayüzünü (AMSI) yamalama yeteneği, geleneksel güvenlik önlemlerini aşma konusundaki kararlılığını gösteriyor.”