Un número significativo de víctimas en los sectores empresarial y de consumo ubicados en Australia, Japón, EE. UU. e India se han visto afectados por un malware de robo de información evasivo llamado ViperSoftX.
ViperSoftX se documentó por primera vez en 2020, con la empresa de ciberseguridad Avast detallando una campaña en noviembre de 2022 que aprovechó el malware para distribuir una extensión maliciosa de Google Chrome capaz de desviar criptomonedas de las aplicaciones de billetera.
ahora un nuevo análisis de Trend Micro ha revelado la adopción del malware de «cifrado más sofisticado y técnicas básicas de antianálisis, como la reasignación de bytes y el bloqueo de la comunicación del navegador web».
El vector de llegada de ViperSoftX suele ser un crack de software o un generador de claves (keygen), mientras que también emplea software real no malicioso como editores multimedia y aplicaciones de limpieza del sistema como «portadores».
Uno de los pasos clave realizados por el malware antes de descargar un cargador PowerShell de primera etapa es una serie de comprobaciones anti-máquina virtual, anti-monitoreo y anti-malware.
Luego, el cargador descifra y ejecuta un script de PowerShell de segunda etapa recuperado de un servidor remoto, que luego se encarga de iniciar la rutina principal responsable de instalar extensiones de navegador no autorizadas para filtrar contraseñas y datos de billetera criptográfica.
Se ha observado que los servidores primarios de comando y control (C&C) utilizados para la descarga de la segunda etapa cambian mensualmente, lo que sugiere intentos por parte del actor de eludir la detección.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
«También utiliza algunos análisis anti-C&C básicos al prohibir las comunicaciones mediante navegadores web», dijo el investigador de Trend Micro, Don Ovid Ladores, y agregó la versión actualizada de los escaneos de ViperSoftX para detectar la presencia de los administradores de contraseñas KeePass 2 y 1Password.
Como atenuantes, se recomienda que los usuarios descarguen software solo de plataformas y fuentes oficiales, y que eviten descargar software ilegal.
«Los ciberdelincuentes detrás de ViperSoftX también tienen la habilidad suficiente para ejecutar una cadena continua para la ejecución de malware mientras permanecen fuera del radar de las autoridades al seleccionar uno de los métodos más efectivos para entregar malware a los consumidores», agregó Ovid Ladores.