Výzkumníci ve společnosti Gen zveřejnili hloubkovou analýzu škodlivého softwaru ViperSoftX. ViperSoftX je nástroj pro krádež informací, který se primárně používá k odcizení kryptoměn. Tento malware obyčejně do webového prohlížeče nainstaluje rozšíření, které výzkumníci Genu pojmenovali VenomSoftX a které dokáže získat úplný přístup k prohlížečům na bázi Chromia. ViperSoftX se šíří především v cracknutých verzích softwaru Adobe Illustrator, Corel Video Studio a Microsoft Office, které lze běžně stáhnout z torrentů. Od ledna 2022 zablokovaly antiviry Avast celosvětově více než 93 000 útoků malwarem ViperSoftX, zejména v Indii, Spojených státech a Itálii. Avast před ViperSoftX ochránil také téměř 1000 uživatelů v Česku.
„Odhadujeme, že kyberzločinci stojící za ViperSoftX ukradli více než 130 000 dolarů v kryptoměnách, a to v Bitcoinech, Ethereu, Dogecoinech, Bitcoin Cach, Cosmosu (ATOM), Tezosu a Dashi,“ říká výzkumník malwaru v Genu Jan Rubín. „S malwarem, který vypadá jako cracknutý software, se setkáváme často a doporučujeme uživatelům, aby si na něj dávali pozor a drželi se oficiálních verzí programů. V tomto případě si lidé místo dotyčného softwaru stáhnou soubor s názvem ‚Activator.exe‘ nebo ‚Patch.exe‘, který po spuštění infikuje počítač nástrojem pro krádež informací.“
ViperSoftX dokáže ukrást informace o infikovaném zařízení včetně názvu počítače, uživatelského jména, podrobností o operačním systému a jeho architektuře i to, zda je na zařízení aktivní antivirový software. ViperSoftX krade kryptoměny uložené lokálně v infikovaném zařízení v kryptoměnovém softwaru a rozšířeních prohlížeče. ViperSoftX také prohlíží obsah schránky a hledá adresy kryptopeněženek. Pokud je najde, nahradí obsah schránky adresou kyberútočníka a odešle peníze přímo na jeho účet. Mezi kryptoměny, které malware krade, patří např. BTC, BCH, BNB, ETH, XMR, XRP, DOGE a DASH.
Tento škodlivý software má také funkce trojského koně se vzdáleným přístupem (RAT), a proto může spouštět libovolné příkazy v příkazovém řádku, stahovat další soubory poskytované řídicím serverem a dokáže se sám z infikovaného systému odstranit.
Škodlivé rozšíření VenomSoftX, které malware ViperSoftX potají instaluje, poskytuje útočníkům plný přístup k prohlížečům jako Chrome, Edge, Brave a Opera. VenomSoftX se vydává za známá rozšíření prohlížeče, například Google Sheets. Rozšíření registruje požadavky API na některé z nejoblíbenějších kryptografických burz, jako jsou Blockchain.com, Binance, Coinbase, Gate.io a Kucoin. Při požadavku API na odeslání nebo výběr kryptoměn rozšíření VenomSoftX požadavek zfalšuje a přesměruje všechny kryptoměny z účtu oběti na účet útočníků. Tato metoda funguje na nižší úrovni než běžné nahrazování ze schránky, takže je velmi obtížné ji odhalit. Rozšíření také umí krást hesla ke kryptoměnám.