Windows-малварь, предназначенная для кражи криптовалюты и содержимого буфера обмена, устанавливает на машины пользователей вредоносное расширение VenomSoftX. Расширение работает как RAT (троян удаленного доступа), ворует данные жертв и криптовалюту.

О существовании малвари ViperSoftX ИБ-экспертам известно с 2020 года, к примеру, ранее о ней уже рассказывали Cerberus и Fortinet. Теперь же вредоноса более детально изучили специалисты Avast, которые сообщают, что за прошедшее время малварь заметно изменилась.

Отчет компании гласит, что с начала 2022 года Avast обнаружила и пресекла 93 000 попыток атак ViperSoftX на своих клиентов, в основном затронувших пользователей из США, Италии, Бразилии и Индии. При этом известно, что основным каналом распространения вредоноса являются торрент-файлы игровых кряков и активаторов для различного ПО.

Изучив адреса кошельков, которые жестко закодированы в образцах ViperSoftX и VenomSoftX, эксперты обнаружили, что по состоянию на 8 ноября 2022 года злоумышленники «заработали» около 130 000 долларов. Причем украденная криптовалюта была получена исключительно с помощью перенаправления криптовалютных транзакций на взломанных устройствах, то есть в эту сумму не входит прибыль от прочей деятельности хакеров.

Сами новые варианты ViperSoftX не сильно отличаются от изученных ранее, то есть могут воровать данные криптовалютных кошельков, выполнять произвольные команды, загружать полезные нагрузки с управляющего сервера и так далее. Главным отличием новых версий ViperSoftX является установка дополнительного вредоносного расширения VenomSoftX в браузеры жертв (Chrome, Brave, Edge, Opera).

Чтобы спрятаться от жертвы, расширение маскируется под Google Sheets 2.1, якобы созданное компанией Google, или под некий Update Manager.

Хотя VenomSoftX во многом дублирует функциональность ViperSoftX (оба вредоноса нацелены на криптовалютные активы жертв), сами кражи расширение осуществляет по-другому, что повышает шансы злоумышленников на успех.

«VenomSoftX в основном ворует криптовалюту, перехватывая API-запросы для нескольких очень популярных криптовалютных бирж, которые посещают жертвы или на которых у них есть учетная запись», — объясняют эксперты.

В частности, целями VenomSoftX выступают Blockchain.com, Binance, Coinbase, Gate.io и Kucoin, а также расширение отслеживает буфер обмена пользователя, и подменяет любые адреса криптовалютных кошельков, которые попадают туда, на адреса злоумышленников.

Кроме того, расширение может изменять HTML-код на сайтах, для обнаружения адреса криптовалютного кошелька пользователя, вместе с этим манипулируя элементами в фоновом режиме и перенаправляя платежи злоумышленниками.

Для определения активов жертвы расширение VenomSoftX перехватывает все API-запросы к упомянутым выше криптовалютным сервисам, а затем устанавливает максимально доступную сумму транзакции, воруя все доступные средства.

Более того, в случае с Blockchain.info расширение вообще попытается похитить пароль, введенный на сайте.

«Модуль фокусируется www.blockchain.com и пытается перехватить https://blockchain.info/wallet. Также оно изменяет геттер поля ввода пароля с целью кражи введенных паролей, — объясняет Avast. — После отправки запроса API-эндпоинту, адрес кошелька извлекается из запроса, связывается с паролем и отправляется сборщику в виде JSON с кодировкой base64 через MQTT».

Исследователи говорят, что обнаружить такие фальшивые Google Sheets просто: обычно настоящие «Google Таблицы» устанавливаются в Chrome как приложение (chrome://apps/), а не как расширение, что довольно просто проверить на указанной странице. Если же в браузере присутствует именно расширение, следует удалить его как можно скорее, очистить данные, и, вероятно, сменить пароли.

Источник: xakep