Windows 恶意软件正在部署名为“VenomSoftX”的信息窃取 Google Chrome 浏览器扩展程序,以在用户浏览网页时窃取加密货币和剪贴板内容。
这个 Chrome 扩展由 ViperSoftX Windows 恶意软件安装,它充当基于 JavaScript 的 RAT(远程访问木马)和加密货币劫持者。
ViperSoftX 自 2020 年以来一直存在,之前由安全研究人员Cerberus和 Colin Cowie以及Fortinet的一份报告披露过。
然而,在 Avast今天的一份新报告中,研究人员提供了有关恶意浏览器扩展的更多详细信息以及恶意软件操作最近如何进行广泛开发。
近期活动
自 2022 年初以来,Avast 已检测并阻止了 93,000 次针对其客户的 ViperSoftX 感染尝试,主要影响美国、意大利、巴西和印度。
.png)
来源:Avast
ViperSoftX 的主要分发渠道是包含捆绑游戏破解和软件产品激活器的 torrent 文件。
通过分析 ViperSoftX 和 VenomSoftX 样本中硬编码的钱包地址,Avast 发现到 2022 年 11 月 8 日,这两家公司已经为他们的运营商总共赚取了约 130,000 美元。
这种被盗的加密货币是通过转移在受感染设备上尝试进行的加密货币交易而获得的,不包括并行活动的利润。
下载的可执行文件是一个恶意软件加载程序,它解密 AES 数据以创建以下五个文件:
- 隐藏 ViperSoftX PowerShell 负载的日志文件
- 任务计划程序的 XML 文件
- 通过创建定时任务建立持久化的VBS文件
- 应用程序二进制文件(承诺的游戏或软件)
- 清单文件
单个恶意代码行隐藏在 5MB 日志文本文件底部的某处,并运行以解密有效负载 ViperSoftX 窃取器。
较新的 ViperSoftX 变体与前几年的分析没有太大区别,包括加密货币钱包数据窃取、任意命令执行、从 C2 中下载有效负载等。
较新的 ViperSoftX 变体的一个关键特征是在基于 Chrome 的浏览器(Chrome、Brave、Edge、Opera)上安装名为 VenomSoftX 的恶意浏览器扩展。
感染 Chrome
为了不让受害者发现,安装的扩展程序伪装成“Google Sheets 2.1”,据称是 Google 的生产力应用程序。5 月,安全研究员 Colin Cowie 还发现了安装为“更新管理器”的扩展。
来源:Avast
虽然 VenomSoftX 似乎与 ViperSoftX 活动重叠,因为它们都以受害者的加密货币资产为目标,但它以不同的方式进行盗窃,从而为运营商提供了更高的成功机会。
“VenomSoftX 主要通过在受害者访问/拥有帐户的一些非常流行的加密货币交易所上挂钩 API 请求来做到这一点(窃取加密货币),”Avast 在报告中解释道。
“例如,当调用某个 API 以发送资金时,VenomSoftX 会在发送请求之前篡改请求,将资金重定向给攻击者。”
VenomSoftX 针对的服务是 Blockchain.com、Binance、Coinbase、Gate.io 和 Kucoin,同时该扩展程序还监控剪贴板以添加钱包地址。
来源:Avast
此外,该扩展程序可以修改网站上的 HTML 以显示用户的加密货币钱包地址,同时在后台操纵元素以将付款重定向到威胁参与者。
为了确定受害者的资产,VenomSoftX 扩展还拦截了对上述加密货币服务的所有 API 请求。然后它将交易金额设置为最大可用金额,吸走所有可用资金。
更糟糕的是,对于 Blockchain.info,该扩展程序还会尝试窃取在网站上输入的密码。
“这个模块专注于 www.blockchain.com 并试图挂钩 https://blockchain.info/wallet。它还修改密码字段的 getter 以窃取输入的密码,”Avast 解释道。
“一旦向 API 端点发送请求,钱包地址就会从请求中提取出来,与密码捆绑在一起,并通过 MQTT 作为 base64 编码的 JSON 发送给收集器。”
最后,如果用户将内容粘贴到任何网站,扩展程序将检查它是否与上面显示的任何正则表达式匹配,如果匹配,则将粘贴的内容发送给威胁参与者。
由于 Google 表格通常作为 chrome://apps/ 下的应用程序而不是扩展程序安装在 Google Chrome 中,因此您可以检查浏览器的扩展程序页面以确定是否安装了 Google 表格。
如果它作为扩展程序安装,您应该将其删除并清除浏览器数据以确保恶意扩展程序被删除。
