Chystáte si na dovolenou stáhnout e-knihu? Pak opatrně – internetem se šíří nové riziko

Jiří Palyza 18.07.2024

Kybernetičtí zločinci opět přišli na nový způsob, jak mezi uživateli šířit nebezpečný kód. V těchto dnech k tomu zneužívají elektronické knihy, které si uživatelé stahují na své dovolené.

Kapitoly článku

Malware ViperSoftX: vývoj a možnosti
Šíření prostřednictvím elektronických knih
Rizika a dopady škodlivého kódu ViperSoftX

Konkrétním rizikem dnešních dnů je malware ViperSoftX, který zločinci distribuují prostřednictvím torrentových stránek. Malware se tváří jako elektronická kniha. Je to opět další důkaz přizpůsobitelnosti a vytrvalosti aktérů kybernetických hrozeb při nalézání nových metod infekce a vyhýbání se detekci antivirovými programy.

Podle bezpečnostních výzkumníků ze společnosti Trellix, kteří na nejnovější formu rizika upozornili, zneužívá současná varianta ViperSoftX prostředí PowerShell a Common Language Runtime (CLR) ke spouštění škodlivého kódu.

Tato metoda umožňuje malwaru bezproblémově integrovat funkce prostředí PowerShell a obejít detekční mechanismy, které by normálně označily samostatné aktivity prostředí PowerShell jako potenciálně rizikové.

Malware ViperSoftX: vývoj a možnosti

Metody šíření malwaru ViperSoftX — Nebezpečný malware se nyní šíří také prostřednictvím torrentů, kde si lze stáhnout elektronické knihy.

Škodlivý kód ViperSoftX poprvé objevila společnost Fortinet v roce 2020. Je známý svou schopností vynášet citlivé informace z napadených počítačů se systémem Windows. V průběhu let se malware neustále vyvíjel a osvojil si pokročilé anti-analytické techniky, jako je mapování bajtů a blokování komunikace ve webovém prohlížeči.

Tato vylepšení, která zdokumentoval Trend Micro v dubnu 2023, poukazují na neustálé inovace taktik aktérů hrozeb.

Mohlo by vás zajímat

Uživatelé Outlooku zpozorněte: v aplikaci je závažná zranitelnost – je dobré okamžitě aktualizovat

Bezpečnost

Symbol elektronické pošty na displeji notebooku

V květnu 2024 byl ViperSoftX zneužit ve škodlivých kampaních k šíření malwaru Quasar RAT (trojan pro otevření komunikačních portů pro vzdálený přístup k napadenému zařízení) a dalšího nástroje pro krádež informací s názvem TesseractStealer.

Cesty, kterými se malware často šíří, zahrnují cracknutý software a torrentové weby, přičemž nově pozorovanou metodou je použití návnad v podobě elektronických knih.

Šíření prostřednictvím elektronických knih

Čtení elektronické knihy na pláži — Výzkumníci popisují malware jako sofistikovanou a schopnou moderní hrozbu, které lze zabránit jen pomocí "komplexní obranné strategie zahrnující detekci, prevenci a reakci".

Nejnovější metoda spočívá v distribuci programu ViperSoftX jako součásti RAR archivu e-knihy. Archiv obsahuje skrytou složku a podvodný soubor – zástupce systému Windows, který je maskován jako neškodný dokument. Otevření zástupce spustí vícestupňový proces infekce:

Extrakce kódu prostředí PowerShell: První krok zahrnuje extrakci kódu prostředí PowerShell pro zobrazení skryté složky a zajištění jejího zachování v systému.

Spuštění skriptu: Proces poté spustí skript, který komunikuje s frameworkem .NET CLR.

Dešifrování a spuštění: Framework CLR dešifruje a spustí sekundární skript prostředí PowerShell, kterým je malware ViperSoftX.

Rizika a dopady škodlivého kódu ViperSoftX

Ukázka RAR s malwarem — Malware ViperSoftX zdokonalil svou taktiku maskování a stal se větší hrozbou.

ViperSoftX provádí několik škodlivých činností, ke kterým patří především:

Shromažďování podrobných systémových informací,
Vyhledávání peněženek kryptoměn pomocí rozšíření prohlížeče,
Zachycení obsahu schránky za účelem krádeže citlivých dat,
Stahování a spouštění dalších balíků škodlivého softwaru a provádění příkazů na základě komunikace se vzdáleným serverem.
Použití mechanismů sebedestrukce k zamezení detekce.

Zdroj: Trellix, Bleeping Computer