Vipersoftx Tehdit aktörleri tarafından hassas bilgileri çalmak için kullanılan kötü amaçlı yazılım


Ahnlab Güvenlik İstihbarat Merkezi (ASEC), yakın zamanda Güney Kore ve ötesindeki kullanıcılar üzerinde önemli bir etkisi olan Vipersoftx kötü amaçlı yazılımların tehdit aktörleri tarafından kalıcı dağılımını doğrulayan ayrıntılı bir rapor yayınladı.

İlk olarak 2020’de Fortinet tarafından tanımlanan Vipersoftx, enfekte olmuş sistemlere sızmak, uzaktan komutları yürütmek ve özellikle kripto para ile ilgili bilgileri hedefleyen hassas verileri çalmak için tasarlanmış sofistike bir PowerShell tabanlı kötü amaçlı yazılımdır.

Devam eden tehdit hedefleri küresel olarak kripto para birimi kullanıcıları

Avast (2022), Trend Micro (2023) ve Trellix (2024) tarafından bildirildiği gibi, çatlak yazılım, anahtar jeneratörler ve hatta torrent sitelerinde e -kitaplar olarak gizlenmiş olan bu kötü amaçlı yazılım, dünya çapında şüpheli kurbanları köleleştirmek için aldatıcı başlangıç ​​erişim taktikleri kullanır.

– Reklamcılık –
Google Haberleri

Bir enfeksiyon vektörü olarak bu tür yasadışı çoğaltma programlarının kullanılması, çeşitli siber suçlular arasında yaygın bir strateji olmaya devam eder, Vipersoftx’in erişimini artırır ve yaygın enfeksiyonlarla sonuçlanır.

Vipersoftx, Windows Görev Zamanlayıcısının kötü niyetli PowerShell komut dosyalarını periyodik olarak yürütmesi için kötüye kullanılması yoluyla dikkat çekici bir kalıcılık gösterir.

Vipersoftx kötü amaçlı yazılım
PowerShell Downloader

Genellikle gizlenmiş veya baz64 şifreli bu komut dosyaları, ek yükler için indiriciler olarak hareket eden “HKLM \ Software \ HPGS6ZTP670 / XR417LXH” gibi kayıt defteri anahtarlarında saklanan veya kayıt defteri anahtarlarında saklanan dosyalar içinde gizlenir.

Bu indiriciler, DNS TXT Kayıt Sorguları gibi teknikleri dinamik olarak hazırlanmış alanlara kullanarak komut ve kontrol (C&C) sunucularından daha fazla kötü amaçlı yazılım getirir.

Dağıtıktan sonra Vipersoftx, bilgisayar adı, Windows sürümü ve yüklü antivirüs verileri dahil ayrıntılı sistem bilgilerini aktararak “X-User-Agent” ve “X-Notify” gibi HTTP başlıkları aracılığıyla C&C sunucusuyla iletişim kurar.

Yük dağıtım mekanizmaları

Veri eklemesinin ötesinde, BIP39 kurtarma ifadelerini çalmak için pano etkinliğini izler ve BTC, ETH ve SOL gibi paralar için kripto para birimi cüzdan adresleri, aynı zamanda şüpheli süreçleri sonlandırarak rakip klipsbanker kötü amaçlı yazılımları engellemek için bir pano koruma mekanizması kullanır.

Buna ek olarak, Vipersoftx tarayıcı uzantılarını ve Chrome, Firefox ve Edge gibi platformlara yüklenmiş programları hedefler ve bu bilgileri daha fazla sömürü için aktörlere tehdit eder.

Yetenekleri, algılamadan kaçınmak için komutların yürütülmesine, yürütülebilir dosyaları indirmeye ve hatta kendini kaldırmaya kadar uzanır.

Kötü amaçlı yazılımın cephaneliği, .NET’te geliştirilen açık kaynaklı uzaktan erişim Truva atı olan Quasar Rat gibi ikincil yükler, ek yük teslimatı için bir paketleyici ve bir uzaktan kumanda kötü amaçlı purehvnc gibi ticari araçların yanı sıra.

Vipersoftx kötü amaçlı yazılım
Purehvnc

Bu araçlar, enfekte sistemler, anahtarlık ve kimlik bilgisi hırsızlığı üzerinde kapsamlı kontrol sağlar.

Dahası, Vipersoftx genellikle kripto para birimi cüzdan adreslerini panodan kaçıran ClipBanker’ı dağıtır ve işlemler sırasında, kullanıcıların tipik olarak kopyaladığı ve macun ettiği cüzdan adreslerinin karmaşıklığından ve rastgeleliğinden yararlanan bir taktik olarak saldırgan kontrollü olanlarla değiştirir.

ASEC, bir enfeksiyonun toplam sistem uzlaşmasına yol açabileceği ve saldırganların sadece kripto para birimi verilerini değil, aynı zamanda çok çeşitli kullanıcı bilgilerini de çıkarmasına izin verebileceği konusunda uyarır.

Riskleri azaltmak için kullanıcılar, doğrulanmamış veya şüpheli kaynaklardan yazılım indirmekten kaçınmaları, en son güvenlik yamalarını uygulamaları ve bilinen saldırı vektörlerini engellemek için V3 ürünleri gibi güncel antivirüs çözümlerini korumaları istenir.

Uzlaşma Göstergeleri (IOCS)

TipDeğer
MD5064B1E45016E8A49EBA01878E41ECC37
0ed2d0579b60d9e923b439d8e74b53e1
0ef1a5d5f406b7e9755ad89e9470c
197ff9252dd5273e3e7e07b37fd4dd
1C4B69F3194BD647639E6B0FA5C7B5
Urlhttp://136.243.132.112/ut.exe
http://136.243.132.112:881/3.exe
http://136.243.132.112:881/appdata.exe
http://136.243.132.112:881/a.ps1
http://136.243.132.112:881/firefoxtemp.exe
Ivır zıvır136.243.132.112
160.191.77.89
185.245.183.74
212.56.35.232
89.117.79.31

Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun



Source link