Новый опасный троян распространяется, прикидываясь электронными книгами

Под видом архивов с электронными книгами распространяется вредонос ViperSoftX. Программа обладает продвинутыми функциями скрытности и используется для доставки других вредоносных программ.

Зараженная книга с торрента

Новый многофункциональный вредонос распространяется под видом электронных книг через торренты. Программа ViperSoftX использует общеязыковую среду выполнения (CLR) для динамической подгрузки и запуска команд PowerShell. Тем самым, как выявили эксперты компании Trellix, формируется среда PowerShell внутри AutoIt. Фактически вредоносная программа способна интегрироваться с функциональностью PowerShell и осуществлять выполнение вредоносных функций незаметно для механизмов обнаружения, которые бы среагировали на самостоятельную активность PowerShell.

ViperSoftX впервые был замечен в 2020 г. специалистами компании Fortinet. Этот вредонос способен выводить значимые данные из скомпрометированных систем под Windows. Вредонос постоянно совершенствуется: его авторы осваивают новые методики скрытности и снабжают свою разработку средствами противодействия анализу, такими как блокировка, побайтовое перераспределение и блокировка браузерных соединений.

Служба доставки и искусство маскировки

В мае 2024 г. отмечена кампания, в ходе которой ViperSoftX использовался для распространения троянца удаленного доступа Quasar RAT и инфостилера TesseactStealer.

Вредоносные программы часто распространяются под видом пиратского ПО через торренты. Однако распространение вредоноса под видом электронных книг наблюдается впервые. В конечном счете, впрочем, потенциальной жертве предлагается скачать не непосредственно файл для букридера, а архив в формате RAR, в котором размещен скрытый каталог и файл-ярлык, имитирующий безвредный документ.

При открытии этого файла начинается многоступенчатый процесс заражения: на первом этапе распаковывается и запускается код PowerShell, который раскрывает спрятанный каталог и устанавливает в системе свои средства постоянства присутствия; затем запускается скрипт AutoIt, который взаимодействует с фреймворком .NET CLR с тем, чтобы расшифровать и запустить второй скрипт PowerShell – собственно, тело самого ViperSoftX. Как отмечают эксперты Trellix, AutoIt по умолчанию не поддерживает .NET CLR; однако пользователь может задавать определенные функции в этом языке, открывающие доступ к библиотеке CLR. Как следствие, злоумышленники получают доступ к обширным возможностям PowerShell.

ViperSoftX также обладает способностью модифицировать интерфейс сканирования вредоносного ПО AMSI (Antimalware Scan Interface) до запуска скриптов PowerShell, тем самым обеспечивая себе дополнительную невидимость для традиционных средств информационной безопасности.

От контроля криптокошельков до удаленного доступа

После этого вредонос беспрепятственно собирает системную информацию, ищет браузерные расширения, соответствующие криптокошелькам, перехватывает содержимое буфера обмена. Кроме того, он может загружать и запускать дополнительные компоненты и выполнять команды от удаленного сервера. На случай попадания в отладочные средства предусмотрен механизм самоудаления.

«Большинство продвинутых вредоносных программ обладают джентльменским набором функций, отвечающих нуждам злоумышленников, и в этом они все похожи друг на друга, – говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. – Наиболее творческий подход авторы вредоносов демонстрируют именно в отношении средств скрытности и обмана, и вот здесь гонка вооружений с разработчиками инструментов защиты представляется бесконечной».

Источник