June 4, 2023


Tangan mencuri data

Versi baru dari malware pencuri informasi ViperSoftX telah ditemukan dengan target yang lebih luas, termasuk menargetkan pengelola kata sandi KeePass dan 1Password.

Laporan tersebut berasal dari para peneliti di Mikro Trenyang menyatakan bahwa ViperSoftX sekarang menargetkan lebih banyak dompet cryptocurrency daripada sebelumnya, dapat menginfeksi browser lain selain Chrome, dan juga mulai menargetkan pengelola kata sandi.

Akhirnya, versi terbaru dari malware pencuri informasi menampilkan enkripsi kode yang lebih kuat dan fitur untuk menghindari deteksi oleh perangkat lunak keamanan.

Alur eksekusi terbaru ViperSoftX
Alur eksekusi terbaru ViperSoftX (Tren Mikro)

Penargetan di seluruh dunia

ViperSoftX adalah malware pencuri informasi yang mencuri berbagai data dari komputer yang terinfeksi. Malware juga diketahui memasang ekstensi berbahaya bernama VenomSoftX di browser Chrome.

Dalam versi terbaru yang dianalisis oleh Trend Micro, browser yang ditargetkan sekarang termasuk Brave, Edge, Opera, dan Firefox juga.

Malware itu pertama kali didokumentasikan pada tahun 2020 sebagai RAT berbasis JavaScript (trojan akses jarak jauh) dan pembajak cryptocurrency. Namun, pada November 2022, Avast melaporkan bahwa ViperSoftX mengedarkan versi baru yang jauh lebih kuat.

Avast mengatakan pada saat itu telah mendeteksi dan menghentikan 93.000 serangan terhadap kliennya antara Januari dan November 2022, dengan sebagian besar korban berada di AS, Italia, Brasil, dan India.

Minggu ini, Trend Micro melaporkan bahwa ViperSoftX menargetkan sektor konsumen dan perusahaan, dengan Australia, Jepang, Amerika Serikat, India, Taiwan, Malaysia, Prancis, dan Italia menyumbang lebih dari 50% aktivitas yang terdeteksi.

Ikhtisar target ViperSoftX
Ikhtisar target ViperSoftX (Tren Mikro)

Berdasarkan pengamatan para analis, malware biasanya datang sebagai crack software, aktivator, atau generator kunci, bersembunyi di dalam software yang tampak jinak.

Target yang diperluas

Dalam versi yang didokumentasikan oleh Avast, VenomSoftX menargetkan dompet kripto Blockchain, Binance, Kraken, eToro, Coinbase, Gate.io, dan Kucoin.

Namun, dalam varian terbaru, Trend Micro melihat peningkatan fungsionalitas yang mencuri dari dompet tambahan berikut:

  • Gudang senjata
  • Dompet Atom
  • Binance
  • Bitcoin
  • Hijau Blockstream
  • Koinomi
  • Delta
  • Elektrum
  • Keluaran
  • Penjaga
  • Jaxx Liberty
  • Ledger Langsung
  • Jembatan Trezor
  • Koin98
  • Coinbase
  • MetaMask
  • Enkripsi

Yang menarik, Trend Micro juga melaporkan bahwa ViperSoftX sekarang sedang memeriksa file yang terkait dengan dua pengelola kata sandi, yaitu 1Password dan KeePass 2, mencoba mencuri data yang disimpan di ekstensi browser mereka.

Memindai pengelola kata sandi
Memindai pengelola kata sandi (Tren Mikro)

Para analis memeriksa apakah malware tersebut memasukkan eksploit untuk CVE-2023-24055, yang memungkinkan pengambilan kata sandi yang disimpan dalam bentuk teks biasa tetapi tidak dapat menemukan bukti eksploitasi ini.

Namun, Trend Micro memberi tahu BleepingComputer bahwa jika pengelola kata sandi terdeteksi, pelaku ancaman dapat menargetkan mereka dengan aktivitas berbahaya di tahap akhir serangan.

“Pada saat penulisan, tidak ada detail jelas yang dapat kami kumpulkan dari kode malware kecuali untuk mengirim data yang dikumpulkan dari mendapatkan file konfigurasi. Bagian kode KeePass tidak ada dalam laporan peneliti eksternal. , jadi kami tahu bahwa ini adalah tambahan selanjutnya,” kata Trend Micro kepada BleepingComputer.

“Hanya terlihat jelas bahwa setelah mengumpulkan intel ini (dompet dan konfigurasi kata sandi) adalah bahwa ia akan mengirimkannya ke C2 jika mereka ada.”

“Satu sudut yang kami lihat adalah kemungkinan menerima kembali serangkaian kode/perintah lain yang akan berfungsi sebagai fungsi jarak jauh untuk melanjutkan fungsi lebih lanjut (karena memiliki kemampuan untuk bekerja mirip dengan pintu belakang).”

Perlindungan yang lebih baik

Versi baru ViperSoftX menggunakan beberapa fitur anti-deteksi, anti-analisis, dan peningkatan siluman, mulai dari sekarang menggunakan DLL sideloading untuk mengeksekusi pada sistem target dalam konteks proses tepercaya, menghindari peningkatan alarm apa pun.

Saat tiba, malware juga memeriksa alat virtualisasi dan pemantauan tertentu seperti VMWare atau Process Monitor dan produk antivirus seperti Windows Defender dan ESET sebelum melanjutkan rutinitas infeksi.

Yang paling menarik adalah malware menggunakan “pemetaan byte” untuk mengenkripsi kodenya, memetakan ulang susunan byte shellcode untuk membuat dekripsi dan analisis tanpa peta yang benar jauh lebih rumit dan memakan waktu.

Pemetaan berbeda pada dua operator yang dapat dieksekusi
Pemetaan berbeda pada dua operator yang dapat dieksekusi (Tren Mikro)

“Kami juga telah menemukan bahwa setiap sideloader DLL memiliki sepasang peta yang dapat dieksekusi dan peta byte, dan upaya dekripsi mengembalikan shellcode yang salah disusun ulang jika digunakan dengan executable terkait ViperSoftX lainnya,” jelas Trend Micro dalam laporannya.

“Ini memastikan bahwa kode shell tidak akan didekripsi tanpa DLL yang benar karena yang terakhir berisi peta byte yang benar.”

Terakhir, ViperSoftX menampilkan pemblokir komunikasi baru di browser web, membuat analisis infrastruktur C2 dan deteksi lalu lintas berbahaya menjadi lebih sulit.

Leave a Reply

Your email address will not be published. Required fields are marked *

Related News

Penjual online yang ditargetkan oleh kampanye malware baru yang mencuri informasi

Penjual online yang ditargetkan oleh kampanye malware baru yang mencuri informasi

June 3, 2023
Zyxel berbagi tips untuk melindungi firewall dari serangan yang sedang berlangsung

Zyxel berbagi tips untuk melindungi firewall dari serangan yang sedang berlangsung

June 3, 2023