Una nueva versión de un malware ya activo ahora está cambiando el enfoque para apuntar a 1Password, en nuestra opinión, el mejor administrador de contraseñas para familias, y KeePass.
ViperSoftX es un ladrón de información que ya ha estado detrás de las billeteras criptográficas, pero ahora está atacando a más de ellas, además de múltiples navegadores web, no solo Google Chrome, y administradores de contraseñas también.
También tiene un cifrado de código más fuerte ahora y es mejor para evitar la detección de las herramientas antivirus.
Nueva versión
ViperSoftX puede instalar la extensión maliciosa de Chrome VenomSoftX, pero según los investigadores de seguridad Trend Micro (se abre en una pestaña nueva)ahora también puede infectar Microsoft Edge, Mozilla Firefox, Opera y Brave.
El malware se descubrió por primera vez en 2020 robando criptomonedas utilizando un RAT (troyano de acceso remoto) basado en JavaScript. Sin embargo, para 2022, Avast (se abre en una pestaña nueva) descubrió que había avanzado considerablemente en sus capacidades, y el proveedor de seguridad cibernética afirmó que había detenido cerca de 100,000 ataques a sus clientes por parte del malware durante la mayor parte del año pasado. La mayoría de las víctimas se encontraban en los EE. UU., Italia, Brasil e India.
Parece que ahora, sin embargo, ViperSoftX ha ampliado su alcance global, con Trend Micro detectando actividad prominente adicional en Australia, Japón, Taiwán, Malasia y Francia. Las empresas y los consumidores también están siendo atacados. Los analistas descubrieron que el malware a menudo está oculto en activadores y grietas de software.
Además de atacar muchas más billeteras criptográficas ahora, Trend Micros descubrió que la última versión de ViperSoftX busca archivos asociados con 1Password y KeePass, e intenta robar datos relacionados con las extensiones de su navegador.
Un exploit rastreado como CVE-2023-24055 permite que las contraseñas almacenadas se exporten en un archivo de texto sin formato, pero Trend Micro encontró ahora evidencia de que ViperSoftX lo está utilizando.
Sin embargo, le dijo a BleepingComputer (se abre en una pestaña nueva) que podría robar las bóvedas de los usuarios en las últimas etapas del ataque, una vez que el malware se ha apoderado y extraído datos del sistema de la víctima y enviado al atacante.
Lo que es más preocupante, el nuevo ViperSoftX utiliza la carga lateral de DLL para que se reconozca erróneamente como un proceso confiable y, por lo tanto, no lo detecte el software de seguridad. También verifica si las herramientas de monitoreo como VMWare o Process Monitor y el software antivirus como Windows Defender y ESET están presentes en el sistema antes de que comience sus procesos.
También utiliza el mapeo de bytes, una técnica para encriptar su código de una manera que lo hace mucho más difícil de descifrar sin tener el mapa correcto para hacerlo.