Kyberzločinci pomocí malwaru ViperSoftX ukradli kryptoměny za více než 2,5 milionu korun

Výzkumníci ve společnosti Gen zveřejnili hloubkovou analýzu škodlivého softwaru ViperSoftX. ViperSoftX je nástroj pro krádež informací, který se primárně používá k odcizení kryptoměn. Tento malware obyčejně do webového prohlížeče nainstaluje rozšíření, které výzkumníci Genu pojmenovali VenomSoftX a které dokáže získat úplný přístup k prohlížečům na bázi Chromia. ViperSoftX se šíří především v cracknutých verzích softwaru Adobe Illustrator, Corel Video Studio a Microsoft Office, které lze běžně stáhnout z torrentů. Od ledna 2022 zablokovaly antiviry Avast celosvětově více než 93 000 útoků malwarem ViperSoftX, zejména v Indii, Spojených státech a Itálii. Avast před ViperSoftX ochránil také téměř 1000 uživatelů v Česku.

„Odhadujeme, že kyberzločinci stojící za ViperSoftX ukradli více než 130 000 dolarů v kryptoměnách, a to v Bitcoinech, Ethereu, Dogecoinech, Bitcoin Cach, Cosmosu (ATOM), Tezosu a Dashi,“ říká výzkumník malwaru v Genu Jan Rubín. „S malwarem, který vypadá jako cracknutý software, se setkáváme často a doporučujeme uživatelům, aby si na něj dávali pozor a drželi se oficiálních verzí programů. V tomto případě si lidé místo dotyčného softwaru stáhnou soubor s názvem ‚Activator.exe‘ nebo ‚Patch.exe‘, který po spuštění infikuje počítač nástrojem pro krádež informací.“

ViperSoftX dokáže ukrást informace o infikovaném zařízení včetně názvu počítače, uživatelského jména, podrobností o operačním systému a jeho architektuře i to, zda je na zařízení aktivní antivirový software. ViperSoftX krade kryptoměny uložené lokálně v infikovaném zařízení v kryptoměnovém softwaru a rozšířeních prohlížeče. ViperSoftX také prohlíží obsah schránky a hledá adresy kryptopeněženek. Pokud je najde, nahradí obsah schránky adresou kyberútočníka a odešle peníze přímo na jeho účet. Mezi kryptoměny, které malware krade, patří např. BTC, BCH, BNB, ETH, XMR, XRP, DOGE a DASH.

Tento škodlivý software má také funkce trojského koně se vzdáleným přístupem (RAT), a proto může spouštět libovolné příkazy v příkazovém řádku, stahovat další soubory poskytované řídicím serverem a dokáže se sám z infikovaného systému odstranit.

Škodlivé rozšíření VenomSoftX, které malware ViperSoftX potají instaluje, poskytuje útočníkům plný přístup k prohlížečům jako Chrome, Edge, Brave a Opera. VenomSoftX se vydává za známá rozšíření prohlížeče, například Google Sheets. Rozšíření registruje požadavky API na některé z nejoblíbenějších kryptografických burz, jako jsou Blockchain.com, Binance, Coinbase, Gate.io a Kucoin. Při požadavku API na odeslání nebo výběr kryptoměn rozšíření VenomSoftX požadavek zfalšuje a přesměruje všechny kryptoměny z účtu oběti na účet útočníků. Tato metoda funguje na nižší úrovni než běžné nahrazování ze schránky, takže je velmi obtížné ji odhalit. Rozšíření také umí krást hesla ke kryptoměnám.

Exit mobile version