Les dernières variantes du malware de vol d’informations Vipersoftx utilisent le common language runtime (CLR) pour charger et exécuter des commandes PowerShell dans les scripts AutoIt afin d’échapper à la détection.
CLR est un composant clé du. NET Framework de Microsoft, servant de moteur d’exécution et d’environnement d’exécution pour les applications.NET.
Vipersoft utilise CLR pour charger du code dans AutoIt, un langage de script pour automatiser les tâches Windows généralement approuvées par les solutions de sécurité.
De plus, les chercheurs ont découvert que le développeur du logiciel malveillant incorporait des scripts offensifs modifiés dans les dernières versions pour augmenter la sophistication.
Chaîne d’infection
ViperSoftX existe depuis au moins 2020 et il est actuellement distribué sur les sites torrent sous forme de livres électroniques qui fournissent des archives RAR malveillantes avec un fichier PDF ou ebook leurre, un raccourci (.Fichier LNK) et scripts PowerShell et AutoIt déguisés en fichiers image JPG.
Les chercheurs en logiciels malveillants de la société de cybersécurité Trellix affirment que l’infection commence lorsque les victimes exécutent le .Fichier LNK. Au cours du processus, il charge le script PowerShell qui masque dans des espaces vides les commandes qui sont automatiquement exécutées dans l’invite de commande.
Le script PS se déplace vers le répertoire%APPDATA % \Microsoft\Windows deux fichiers (zz1Cover2.jpg et zz1couverture3.jpg). L’un d’eux est l’exécutable pour AutoIt et renommé AutoIt3.exé.
Pour maintenir la persistance, le même script configure le planificateur de tâches pour exécuter AutoIt3.exe toutes les cinq minutes après la connexion de l’utilisateur.
Opération furtive
En utilisant CLR pour charger et exécuter des commandes PowerShell dans l’environnement AutoIt, Vipersoft cherche à se fondre dans des activités légitimes sur le système et à échapper à la détection.
Cela est possible car même si AutoIt ne prend pas en charge.NET CLR de manière native, les utilisateurs peuvent définir des fonctions qui permettent d’appeler indirectement des commandes PowerShell.
Vipersoft utilise un obscurcissement lourd en Base64 et un cryptage AES pour masquer les commandes dans les scripts PowerShell extraites des fichiers de leurre d’image.
Le logiciel malveillant comprend également une fonction permettant de modifier la mémoire de la fonction AMSI (Antimalware Scan Interface) ‘ ‘AmsiScanBuffer’’ pour contourner les contrôles de sécurité sur les scripts.
Pour la communication réseau, ViperSoftX utilise des noms d’hôtes trompeurs comme ‘security-microsoft.com. Pour rester sous le radar, les informations système sont codées au format Base64 et les données sont livrées via une requête POST avec une longueur de contenu de “0. »Ce faisant, l’acteur menaçant essaie à nouveau d’éviter l’attention en raison du manque de contenu corporel.
L’objectif de Vipersoft est de voler les données suivantes des systèmes compromis:
- Détails du système et du matériel
- Données de portefeuille de crypto-monnaie provenant d’extensions de navigateur telles que Netmask, Ronin Wallet et bien d’autres
- Contenu du presse-papiers
Trellix dit que Vipersoft a affiné ses tactiques d’évasion et est devenu une plus grande menace. En intégrant CLR pour exécuter PowerShell dans AutoIt, le logiciel malveillant parvient à exécuter des fonctions malveillantes tout en évitant les mécanismes de sécurité qui détectent généralement l’activité PowerShell autonome.
Les chercheurs décrivent le malware comme une menace moderne sophistiquée et agile qui peut être contrecarrée avec « une stratégie de défense complète qui englobe les capacités de détection, de prévention et de réponse. »