За 2022 год специалистам Avast удалось обнаружить и пресечь 93 тысячи заражений вредоносным ПО, которое содержит аддон.
Согласно последним сообщениям специалистов Avast, с начала 2022 года участились атаки с использованием вредоносного расширения для браузера Google Chrome под названием "VenomSoftX", который похищает содержимое буфера обмена. Как удалось выяснить экспертам, этот аддон является частью JavaScript-трояна ViperSoftX, крадущего пароли и криптовалюту.
Известно, что ViperSoftX тихо существовал с 2020 года, ведь ранее о трояне сообщали исследователи из Cerberus и Colin Cowie. Кроме того, ему был посвящен отдельный отчет компании Fortinet.
А в новом отчете Avast Threat Labs специалисты раскрыли дополнительные сведения о функциональности вредоноса и расширения VenomSoftX. Кроме того, в отчете сообщается, что с начала 2022 года специалисты Avast обнаружили и пресекли около 93 000 попыток заражения ViperSoftX. Основная часть зараженных пользователей находилась в США, Италии, Индии и Бразилии.
Основным каналом распространения ViperSoftX являются торрент-файлы с “кряками” для игр и активаторы платного ПО. Адреса криптокошельков злоумышленников жёстко закодированы в образцах ViperSoftX и VenomSoftX. Всего таких кошельков нашлось два, на момент 8 ноября 2022 года в них хранилось 130 тысяч долларов. Ключевая функция ViperSoftX – установка аддона VenomSoftX для браузеров Chrome, Brave, Edge и Opera. Расширение маскируется под якобы полезное приложение “Google Sheets 2.1“.
Известно, что VenomSoftX умеет модифицировать HTML-код на веб-сайтах и перенаправлять транзакции в криптовалюте на кошельки операторов вредоноса. Кроме самой валюты, троян может спокойно похищать пароли пользователей. Кроме того, расширение способно перехватывать API-запросы к криптосервисам, чтобы собрать информацию об активах жертвы.
Источник: securitylab