Nuova variante di ViperSoftX: Scoperta e analisi delle tecniche di evasione avanzate

Scoperta della Variante ViperSoftX da Trellix

I ricercatori di Trellix hanno scoperto una nuova variante del malware ViperSoftX, noto per le sue capacità di furto di informazioni. Questa variante si distingue per l’uso avanzato del Common Language Runtime (CLR) per eseguire comandi PowerShell all’interno di script AutoIt, rendendo il malware particolarmente difficile da rilevare.

L’evoluzione del malware

ViperSoftX è stato inizialmente rilevato nel 2020 e si è evoluto significativamente nel tempo. Originariamente diffuso tramite software pirata, ora viene distribuito anche attraverso eBook su siti torrent.

“Nel panorama dinamico delle minacce informatiche, ViperSoftX è emerso come un malware altamente sofisticato, abile nell’infiltrarsi nei sistemi e nell’esfiltrare informazioni sensibili. Dalla sua rilevazione iniziale nel 2020, ViperSoftX ha subito diverse iterazioni, con ogni versione che dimostrava una maggiore complessità e capacità avanzate.”, spiega Trellix, “Inizialmente, si diffondeva principalmente tramite software craccato, attirando gli utenti con applicazioni pirata che installavano segretamente il malware. In precedenza, ViperSoftX era distribuito anche tramite siti torrent, ma ora abbiamo osservato che viene distribuito specificamente come eBook tramite torrent.”

Questa nuova variante utilizza il CLR per integrare funzionalità PowerShell, permettendo l’esecuzione di funzioni dannose senza essere rilevato dai meccanismi di sicurezza che normalmente segnalerebbero attività PowerShell.

Tecniche di evasione

Una delle caratteristiche più preoccupanti di ViperSoftX è la sua capacità di nascondere comandi dannosi all’interno di script AutoIt, che a loro volta eseguono comandi PowerShell. Questo approccio sfrutta la capacità di AutoIt di interagire con il framework .NET CLR, creando un ambiente PowerShell nascosto. Inoltre, il malware tenta di bypassare (con una apposita funzione “patch_AMSI”) il rilevamento di sicurezza di Windows AMSI (Antimalware Scan Interface), rendendo ancora più difficile la sua individuazione.

Fonte Trellix

Flusso di infezione

L’attacco inizia con gli utenti che scaricano da un link torrent un presunto ebook legittimo. In realtà all’interno del file .RAR scaricato, sono presenti un file di collegamento in apparenza innocuo, uno script PowerShell, AutoIt.exe, uno script AutoIt ( tutti mascherati da immagini .JPG) e una cartella nascosta (che contiene file identici a quelli nella cartella corrente con un documento che funge da esca).

Fonte Trellix

Quando l’utente esegue il file di collegamento, esegue il file che nasconde il codice PowerShell avviando una sequenza di comandi senza interazione diretta dell’utente. Lo script configura Windows Task Scheduler e lancia Autoit.exe che con il supporto di .NET CLR acquisisce la capacità di sfruttare le classi di automazione PowerShell per decriptare il payload finale di ViperSoftX. Il malware sarebbe in grado di raccogliere informazioni di sistema, wallet di criptovaluta e il contenuto degli appunti inviando il tutto al suo server di Comando e Controllo (C2), di scaricare/eseguire dinamicamente payload/comandi aggiuntivi in ​​base alle risposte ricevute dal server C2 e di autoeliminarsi per eludere i tentativi di rilevamento.

Implicazioni per la sicurezza

La scoperta di questa variante di ViperSoftX sottolinea l’importanza di aggiornare costantemente le difese di sicurezza informatica. Le tecniche avanzate di evasione utilizzate da questo malware rappresentano una minaccia significativa, soprattutto per gli utenti che scaricano contenuti da fonti non affidabili. È essenziale che le organizzazioni implementino misure di sicurezza robuste e aggiornate per proteggere i loro sistemi da queste minacce in continua evoluzione.

Su Salvatore Lombardo 258 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.