Une nouvelle version du logiciel malveillant voleur d’informations ViperSoftX a été découverte avec un plus large éventail de cibles, notamment les gestionnaires de mots de passe KeePass et 1Password.
Le rapport provient de chercheurs de Trend Micro, qui déclarent que ViperSoftX cible désormais plus de portefeuilles de crypto-monnaie qu’auparavant, peut infecter différents navigateurs en plus de Chrome et commence également à cibler les gestionnaires de mots de passe.
Enfin, la dernière version du logiciel malveillant voleur d’informations propose un cryptage de code plus puissant et des fonctionnalités permettant d’échapper à la détection par les logiciels de sécurité.
Ciblage mondial
ViperSoftX est un logiciel malveillant de vol d’informations qui vole diverses données des ordinateurs infectés. Le malware est également connu pour installer une extension malveillante nommée VenomSoftX sur le navigateur Chrome.
Dans la dernière version analysée par Trend Micro, les navigateurs ciblés incluent désormais Brave, Edge, Opera et Firefox également.
Le malware a été documenté pour la première fois en 2020 en tant que RAT basé sur JavaScript (cheval de Troie d’accès à distance) et pirate de crypto-monnaie. Cependant, en novembre 2022, Avast a signalé que ViperSoftX faisait circuler une nouvelle version beaucoup plus puissante.
Avast a déclaré à l’époque avoir détecté et arrêté 93 000 attaques contre ses clients entre janvier et novembre 2022, la plupart des victimes résidant aux États-Unis, en Italie, au Brésil et en Inde.
Cette semaine, Trend Micro a signalé que ViperSoftX cible à la fois les secteurs des consommateurs et des entreprises, l’Australie, le Japon, les États-Unis, l’Inde, Taïwan, la Malaisie, la France et l’Italie représentant plus de 50 % de l’activité détectée.
D’après les observations des analystes, les logiciels malveillants arrivent généralement sous forme de fissures logicielles, d’activateurs ou de générateurs de clés, se cachant dans des logiciels apparemment bénins.
Cibles élargies
Dans la version documentée par Avast, VenomSoftX ciblait les portefeuilles crypto Blockchain, Binance, Kraken, eToro, Coinbase, Gate.io et Kucoin.
Cependant, dans la dernière variante, Trend Micro a repéré une fonctionnalité accrue qui vole les portefeuilles supplémentaires suivants :
- Armory
- Atomic Wallet
- Binance
- Bitcoin
- Blockstream Green
- Coinomi
- Delta
- Electrum
- Exodus
- Guarda
- Jaxx Liberty
- Ledger Live
- Trezor Bridge
- Coin98
- Coinbase
- MetaMask
- Enkrypt
Il est particulièrement intéressant de noter que Trend Micro signale également que ViperSoftX vérifie désormais les fichiers associés à deux gestionnaires de mots de passe, à savoir 1Password et KeePass 2, qui tentent de voler les données stockées dans leurs extensions de navigateur.
Les analystes ont vérifié si le logiciel malveillant incorporait un exploit pour CVE-2023-24055, qui permet de récupérer les mots de passe stockés sous forme de texte en clair, mais n’ont trouvé aucune preuve de cette exploitation.
Cependant, Trend Micro a déclaré à Breachtrace qu’il est possible que si des gestionnaires de mots de passe sont détectés, les acteurs de la menace pourraient les cibler avec une activité malveillante dans les dernières étapes de l’attaque.
« Au moment de la rédaction, il n’y avait aucun détail clair que nous puissions recueillir à partir des codes du logiciel malveillant, sauf pour envoyer les données recueillies lors de l’obtention des fichiers de configuration. La section KeePass du code n’était pas présente dans les rapports des chercheurs externes. , nous savons donc qu’il s’agit d’un ajout ultérieur », a déclaré Trend Micro à Breachtrace .
« Ce n’est qu’apparent qu’après avoir rassemblé ces informations (configuration des portefeuilles et des mots de passe), il les enverra à son C2 s’ils existent. »
« Un angle que nous examinons cependant est la probabilité de recevoir un autre ensemble de codes/commandes qui serviraient de fonctions à distance afin de procéder à d’autres fonctions (puisqu’il a la capacité de fonctionner comme une porte dérobée). »
Meilleure protection
La nouvelle version de ViperSoftX utilise plusieurs fonctionnalités d’anti-détection, d’anti-analyse et d’amélioration de la furtivité, à partir de maintenant en utilisant le chargement latéral de DLL pour s’exécuter sur le système cible dans le contexte d’un processus de confiance, en évitant de déclencher des alarmes.
À son arrivée, le logiciel malveillant recherche également des outils de virtualisation et de surveillance spécifiques tels que VMWare ou Process Monitor et des produits antivirus tels que Windows Defender et ESET avant de procéder à la routine d’infection.
Ce qui est le plus intéressant, c’est l’utilisation par le logiciel malveillant du « mappage d’octets » pour chiffrer son code, remappant l’arrangement des octets du shellcode pour rendre le déchiffrement et l’analyse sans avoir la carte correcte beaucoup plus compliquée et chronophage.
« Nous avons également constaté que chaque DLL de chargeur latéral a sa propre paire d’exécutable et de carte d’octets, et une tentative de déchiffrement renvoie un shellcode réorganisé de manière incorrecte s’il est utilisé avec un autre exécutable lié à ViperSoftX », explique Trend Micro dans le rapport.
« Cela garantit que le shellcode ne sera pas déchiffré sans la bonne DLL puisque cette dernière contient la bonne carte d’octets. »
Enfin, ViperSoftX propose un nouveau bloqueur de communication sur les navigateurs Web, ce qui rend plus difficile l’analyse de l’infrastructure C2 et la détection du trafic malveillant.