ViperSoftX olarak bilinen karmaşık kötü amaçlı yazılımın torrentler üzerinden e-kitap olarak dağıtıldığı gözlemlendi.
“ViperSoftX’in mevcut sürümünün dikkat çekici bir yönü, Ortak Dil Çalışma Zamanı’nı kullanmasıdır (ÇÖZÜM) PowerShell komutlarını dinamik olarak yüklemek ve çalıştırmak, böylece AutoIt içinde işlemler için bir PowerShell ortamı oluşturmak,” Trellix güvenlik araştırmacıları Mathanraj Thangaraju ve Sijo Jacob söz konusu.
“CLR’yi kullanarak ViperSoftX, PowerShell işlevselliğini sorunsuz bir şekilde entegre edebilir ve bu sayede, bağımsız PowerShell etkinliğini işaretleyebilecek algılama mekanizmalarından kaçınırken kötü amaçlı işlevleri yürütebilir.”
İlk olarak 2020 yılında Fortinet tarafından tespit edilen ViperSoftX, tehlikeye atılmış Windows ana bilgisayarlarından hassas bilgileri sızdırma yeteneğiyle bilinir. Yıllar geçtikçe, kötü amaçlı yazılım tehdit aktörlerinin gizli kalmak ve savunmaları aşmak için taktiklerini sürekli olarak yenilemelerinin önemli bir örneği haline geldi.
Bu durum, Trend Micro’nun Nisan 2023’te belgelediği gibi, bayt yeniden eşleme ve web tarayıcısı iletişimini engelleme gibi gelişmiş anti-analiz tekniklerinin artan karmaşıklığı ve benimsenmesiyle örneklendirilebilir.
Mayıs 2024’te bile kötü amaçlı kampanyalar ViperSoftX’i bir teslimat aracı Quasar RAT ve TesseractStealer adlı bir diğer bilgi hırsızını dağıtmak.
Kötü amaçlı yazılımı yayan saldırı zincirlerinin, kırık yazılım ve torrent sitelerini kullandığı biliniyor, ancak e-kitap cazibelerinin kullanımı yeni gözlemlenen bir yaklaşım. Varsayılan e-kitap RAR arşiv dosyasının içinde gizli bir klasör ve iyi huylu bir belge gibi görünen aldatıcı bir Windows kısayol dosyası da mevcut.
Kısayol dosyasının yürütülmesi, gizlenmiş klasörü ortaya çıkaran ve sistemde kalıcılığı ayarlayan bir AutoIt betiğini başlatan PowerShell kodunun çıkarılmasıyla başlayan çok aşamalı bir enfeksiyon dizisini başlatır; bu betik de .NET CLR çerçevesiyle etkileşime girerek ikincil bir PowerShell betiği olan ViperSoftX’i şifresini çözer ve çalıştırır.
Araştırmacılar, “AutoIt varsayılan olarak .NET Ortak Dil Çalışma Zamanı’nı (CLR) desteklemez” dedi. “Ancak, dilin kullanıcı tanımlı işlevleri (UDF) CLR kütüphanesine bir geçit sunarak kötü niyetli aktörlerin PowerShell’in müthiş yeteneklerine erişmesini sağlar.”
ViperSoftX sistem bilgilerini toplar, tarayıcı uzantıları aracılığıyla kripto para cüzdanlarını tarar, pano içeriklerini yakalar ve uzak bir sunucudan alınan yanıtlara göre ek yükleri ve komutları dinamik olarak indirir ve çalıştırır. Ayrıca, algılamayı zorlamak için kendi kendini silme mekanizmalarıyla birlikte gelir.
Araştırmacılar, “ViperSoftX’in ayırt edici özelliklerinden biri, AutoIt ortamında PowerShell işlemlerini düzenlemek için Common Language Runtime’ı (CLR) ustaca kullanmasıdır” dedi. “Bu entegrasyon, genellikle tek başına PowerShell etkinliğini işaretleyecek olan algılama mekanizmalarından kaçınırken kötü amaçlı işlevlerin sorunsuz bir şekilde yürütülmesini sağlar.”
“Ayrıca, ViperSoftX’in PowerShell betiklerini çalıştırmadan önce Antimalware Tarama Arayüzünü (AMSI) yamalama yeteneği, geleneksel güvenlik önlemlerini aşma konusundaki kararlılığını gösteriyor.”