Ahnlab Güvenlik İstihbarat Merkezi (ASEC), yakın zamanda Güney Kore ve ötesindeki kullanıcılar üzerinde önemli bir etkisi olan Vipersoftx kötü amaçlı yazılımların tehdit aktörleri tarafından kalıcı dağılımını doğrulayan ayrıntılı bir rapor yayınladı.
İlk olarak 2020’de Fortinet tarafından tanımlanan Vipersoftx, enfekte olmuş sistemlere sızmak, uzaktan komutları yürütmek ve özellikle kripto para ile ilgili bilgileri hedefleyen hassas verileri çalmak için tasarlanmış sofistike bir PowerShell tabanlı kötü amaçlı yazılımdır.
Devam eden tehdit hedefleri küresel olarak kripto para birimi kullanıcıları
Avast (2022), Trend Micro (2023) ve Trellix (2024) tarafından bildirildiği gibi, çatlak yazılım, anahtar jeneratörler ve hatta torrent sitelerinde e -kitaplar olarak gizlenmiş olan bu kötü amaçlı yazılım, dünya çapında şüpheli kurbanları köleleştirmek için aldatıcı başlangıç erişim taktikleri kullanır.
.png
)
Bir enfeksiyon vektörü olarak bu tür yasadışı çoğaltma programlarının kullanılması, çeşitli siber suçlular arasında yaygın bir strateji olmaya devam eder, Vipersoftx’in erişimini artırır ve yaygın enfeksiyonlarla sonuçlanır.
Vipersoftx, Windows Görev Zamanlayıcısının kötü niyetli PowerShell komut dosyalarını periyodik olarak yürütmesi için kötüye kullanılması yoluyla dikkat çekici bir kalıcılık gösterir.

Genellikle gizlenmiş veya baz64 şifreli bu komut dosyaları, ek yükler için indiriciler olarak hareket eden “HKLM \ Software \ HPGS6ZTP670 / XR417LXH” gibi kayıt defteri anahtarlarında saklanan veya kayıt defteri anahtarlarında saklanan dosyalar içinde gizlenir.
Bu indiriciler, DNS TXT Kayıt Sorguları gibi teknikleri dinamik olarak hazırlanmış alanlara kullanarak komut ve kontrol (C&C) sunucularından daha fazla kötü amaçlı yazılım getirir.
Dağıtıktan sonra Vipersoftx, bilgisayar adı, Windows sürümü ve yüklü antivirüs verileri dahil ayrıntılı sistem bilgilerini aktararak “X-User-Agent” ve “X-Notify” gibi HTTP başlıkları aracılığıyla C&C sunucusuyla iletişim kurar.
Yük dağıtım mekanizmaları
Veri eklemesinin ötesinde, BIP39 kurtarma ifadelerini çalmak için pano etkinliğini izler ve BTC, ETH ve SOL gibi paralar için kripto para birimi cüzdan adresleri, aynı zamanda şüpheli süreçleri sonlandırarak rakip klipsbanker kötü amaçlı yazılımları engellemek için bir pano koruma mekanizması kullanır.
Buna ek olarak, Vipersoftx tarayıcı uzantılarını ve Chrome, Firefox ve Edge gibi platformlara yüklenmiş programları hedefler ve bu bilgileri daha fazla sömürü için aktörlere tehdit eder.
Yetenekleri, algılamadan kaçınmak için komutların yürütülmesine, yürütülebilir dosyaları indirmeye ve hatta kendini kaldırmaya kadar uzanır.
Kötü amaçlı yazılımın cephaneliği, .NET’te geliştirilen açık kaynaklı uzaktan erişim Truva atı olan Quasar Rat gibi ikincil yükler, ek yük teslimatı için bir paketleyici ve bir uzaktan kumanda kötü amaçlı purehvnc gibi ticari araçların yanı sıra.

Bu araçlar, enfekte sistemler, anahtarlık ve kimlik bilgisi hırsızlığı üzerinde kapsamlı kontrol sağlar.
Dahası, Vipersoftx genellikle kripto para birimi cüzdan adreslerini panodan kaçıran ClipBanker’ı dağıtır ve işlemler sırasında, kullanıcıların tipik olarak kopyaladığı ve macun ettiği cüzdan adreslerinin karmaşıklığından ve rastgeleliğinden yararlanan bir taktik olarak saldırgan kontrollü olanlarla değiştirir.
ASEC, bir enfeksiyonun toplam sistem uzlaşmasına yol açabileceği ve saldırganların sadece kripto para birimi verilerini değil, aynı zamanda çok çeşitli kullanıcı bilgilerini de çıkarmasına izin verebileceği konusunda uyarır.
Riskleri azaltmak için kullanıcılar, doğrulanmamış veya şüpheli kaynaklardan yazılım indirmekten kaçınmaları, en son güvenlik yamalarını uygulamaları ve bilinen saldırı vektörlerini engellemek için V3 ürünleri gibi güncel antivirüs çözümlerini korumaları istenir.
Uzlaşma Göstergeleri (IOCS)
Tip | Değer |
---|---|
MD5 | 064B1E45016E8A49EBA01878E41ECC37 |
0ed2d0579b60d9e923b439d8e74b53e1 | |
0ef1a5d5f406b7e9755ad89e9470c | |
197ff9252dd5273e3e7e07b37fd4dd | |
1C4B69F3194BD647639E6B0FA5C7B5 | |
Url | http://136.243.132.112/ut.exe |
http://136.243.132.112:881/3.exe | |
http://136.243.132.112:881/appdata.exe | |
http://136.243.132.112:881/a.ps1 | |
http://136.243.132.112:881/firefoxtemp.exe | |
Ivır zıvır | 136.243.132.112 |
160.191.77.89 | |
185.245.183.74 | |
212.56.35.232 | |
89.117.79.31 |
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun