Se ha observado que el sofisticado malware conocido como ViperSoftX se distribuye como libros electrónicos a través de torrents.
«Un aspecto notable de la variante actual de ViperSoftX es que utiliza Common Language Runtime (CLR) para cargar y ejecutar dinámicamente comandos de PowerShell, creando así un entorno de PowerShell dentro de AutoIt para operaciones», dijeron los investigadores de seguridad de Trellix Mathanraj Thangaraju y Sijo Jacob. dicho.
«Al utilizar CLR, ViperSoftX puede integrar sin problemas la funcionalidad de PowerShell, lo que le permite ejecutar funciones maliciosas y evadir mecanismos de detección que de otro modo podrían marcar la actividad independiente de PowerShell».
ViperSoftX, detectado inicialmente por Fortinet en 2020, es conocido por su capacidad de extraer información confidencial de los hosts de Windows comprometidos. A lo largo de los años, el malware se ha convertido en un ejemplo relevante de cómo los actores de amenazas innovan continuamente sus tácticas en un intento de mantenerse ocultos y eludir las defensas.
Un ejemplo de ello es la mayor complejidad y la adopción de técnicas avanzadas de antianálisis, como la reasignación de bytes y el bloqueo de la comunicación a través del navegador web, como lo documentó Trend Micro en abril de 2023.
Tan recientemente como en mayo de 2024, campañas maliciosas han aprovechado ViperSoftX como vehículo de reparto para distribuir Quasar RAT y otro ladrón de información llamado TesseractStealer.
Se sabe que las cadenas de ataque que propagan el malware emplean software pirateado y sitios de torrents, pero el uso de señuelos de libros electrónicos es un enfoque observado recientemente. Dentro del supuesto archivo RAR del libro electrónico hay una carpeta oculta, así como un archivo de acceso directo de Windows engañoso que pretende ser un documento inocuo.
Al ejecutar el archivo de acceso directo se inicia una secuencia de infección de varias etapas que comienza con la extracción del código de PowerShell que muestra la carpeta oculta y configura la persistencia en el sistema para iniciar un script de AutoIt que, a su vez, interactúa con el marco CLR .NET para descifrar y ejecutar un script de PowerShell secundario, que es ViperSoftX.
«AutoIt no es compatible de forma predeterminada con el Common Language Runtime (CLR) de .NET», dijeron los investigadores. «Sin embargo, las funciones definidas por el usuario del lenguaje (UDF) ofrecen una puerta de entrada a la biblioteca CLR, otorgando a actores malintencionados acceso a las formidables capacidades de PowerShell».
ViperSoftX recopila información del sistema, busca billeteras de criptomonedas a través de extensiones del navegador, captura el contenido del portapapeles y descarga y ejecuta dinámicamente cargas útiles y comandos adicionales en función de las respuestas recibidas de un servidor remoto. También incluye mecanismos de autoeliminación para desafiar la detección.
«Una de las características distintivas de ViperSoftX es su uso experto del Common Language Runtime (CLR) para orquestar las operaciones de PowerShell dentro del entorno de AutoIt», afirmaron los investigadores. «Esta integración permite la ejecución sin problemas de funciones maliciosas, al tiempo que evade los mecanismos de detección que normalmente señalarían la actividad independiente de PowerShell».
«Además, la capacidad de ViperSoftX de parchar la interfaz de escaneo antimalware (AMSI) antes de ejecutar scripts de PowerShell subraya su determinación de eludir las medidas de seguridad tradicionales».