Hand stealing data

情報を盗むマルウェア ViperSoftX の新しいバージョンが発見され、KeePass や 1Password のパスワード マネージャーを標的とするなど、より幅広い標的が狙われています。

このレポートは、 トレンドマイクロの研究者によるもので、ViperSoftX は以前よりも多くの暗号通貨ウォレットをターゲットにしており、Chrome 以外のさまざまなブラウザーに感染する可能性があり、パスワード マネージャーもターゲットにし始めていると述べています。

最後に、情報を盗むマルウェアの最新バージョンは、より強力なコード暗号化と、セキュリティ ソフトウェアによる検出を回避する機能を備えています。

ViperSoftX の最新の実行フロー
ViperSoftX の最新の実行フロー(Trend Micro)

世界的なターゲティング

ViperSoftX は、感染したコンピューターからさまざまなデータを盗む、情報を盗むマルウェアです。このマルウェアは、VenomSoftX という名前の悪意のある拡張機能を Chrome ブラウザーにインストールすることも知られています。

トレンド マイクロが分析した最新バージョンでは、標的となるブラウザーに Brave、Edge、Opera、Firefox も含まれるようになりました。

このマルウェアは、JavaScript ベースの RAT (リモート アクセス トロイの木馬) および暗号通貨ハイジャッカーとして2020 年に最初に文書化されました。しかし、2022 年 11 月、 Avast は、ViperSoftX が新しい、はるかに強力なバージョンを流通させていると報告しました

アバストは当時、2022 年 1 月から 11 月の間にクライアントに対する 93,000 件の攻撃を検出して阻止したと述べており、ほとんどの被害者は米国、イタリア、ブラジル、インドに住んでいました.

トレンド マイクロは今週、ViperSoftX が消費者と企業の両方のセクターを標的にしており、オーストラリア、日本、米国、インド、台湾、マレーシア、フランス、イタリアが検出されたアクティビティの 50% 以上を占めていると報告しました。

ViperSoftX ターゲットの概要
ViperSoftX ターゲットの概要(トレンドマイクロ)

アナリストの観察によると、マルウェアは通常、ソフトウェア クラック、アクティベーター、またはキー ジェネレーターとして到着し、無害に見えるソフトウェア内に隠れています。

拡大対象

アバストが文書化したバージョンでは、VenomSoftX はブロックチェーン、バイナンス、クラーケン、eToro、コインベース、Gate.io、Kucoin 暗号ウォレットを標的にしていました。

ただし、最新の亜種では、トレンドマイクロは、次の追加のウォレットから盗む機能の増加を発見しました。

  • 武器庫
  • アトミックウォレット
  • バイナンス
  • ビットコイン
  • ブロックストリームグリーン
  • コノミ
  • デルタ
  • エレクトラム
  • エクソダス
  • グアルダ
  • ジャックス・リバティ
  • 元帳ライブ
  • トレザー橋
  • Coin98
  • コインベース
  • メタマスク
  • 暗号化

特に興味深いことに、Trend Micro は、ViperSoftX が現在、1Password と KeePass 2 という 2 つのパスワード マネージャーに関連するファイルをチェックしており、ブラウザー拡張機能に保存されているデータを盗もうとしていると報告しています。

パスワード マネージャーのスキャン
パスワード マネージャーのスキャン(Trend Micro)

アナリストは、マルウェアに CVE-2023-24055 のエクスプロイトが組み込まれているかどうかを確認しました。CVE-2023-24055 は、保存されたパスワードをプレーンテキスト形式で取得できるようにしますが、このエクスプロイトの証拠は見つかりませんでした。

ただし、トレンド マイクロは、パスワード マネージャーが検出された場合、攻撃者が攻撃の後期段階で悪意のある活動を行うことでそれらを標的にする可能性があると述べています。

「この記事の執筆時点では、構成ファイルを取得して収集したデータを送信することを除いて、マルウェアのコードから収集できる明確な詳細はありませんでした。コードの KeePass セクションは、外部の研究者の報告には存在しませんでした。であるため、後から追加されたものであることがわかっています」とトレンドマイクロは語っています。

「これらの情報(ウォレットとパスワードの構成)を収集した後、それらが存在する場合はそれをC2に送信することは明らかです。」

「私たちが調査している角度の 1 つは、さらなる機能を進めるためにリモート機能として機能する別のコード/コマンド セットを受信する可能性です (バックドアと同様に機能するため)。」

より良い保護

ViperSoftX の新しいバージョンは、いくつかの検出防止、分析防止、ステルス強化機能を採用しており、これからは DLL サイドローディングを使用して、信頼できるプロセスのコンテキストでターゲット システム上で実行し、アラームを発生させないようにします。

マルウェアは到着すると、VMWare や Process Monitor などの特定の仮想化および監視ツール、および Windows Defender や ESET などのウイルス対策製品もチェックしてから、感染ルーチンを続行します。

最も興味深いのは、マルウェアがコードを暗号化するために「バイト マッピング」を使用し、シェルコード バイトの配置を再マッピングして、正しいマップを持たずに復号化と分析を行うことで、はるかに複雑で時間がかかります。

実行可能な 2 つのキャリアの異なるマッピング
実行可能な 2 つのキャリアで異なるマッピング(Trend Micro)

「各サイドローダー DLL には独自の実行可能ファイルとバイト マップのペアがあり、別の ViperSoftX 関連の実行可能ファイルと一緒に使用すると、復号化を試みると、誤って再配置されたシェルコードが返されることもわかりました」とトレンドマイクロはレポートで説明しています。

「後者には正しいバイトマップが含まれているため、これにより、正しいDLLがないとシェルコードが復号化されないことが保証されます。」

最後に、ViperSoftX は Web ブラウザーに新しい通信ブロッカーを備えているため、C2 インフラストラクチャの分析と悪意のあるトラフィックの検出が困難になります。