I ricercatori di Trend Micro hanno scoperto una nuova versione di ViperSoftX, un info-stealer sviluppato soprattutto per rubare criptovalute. La recente iterazione del malware consentirebbe però anche di accedere ai password manager.
ViperSoftX viene in genere nascosto in crack software, keygen, editor multimediali e app per la pulizia del sistema.
La catena d’infezione prevede prima di scaricare un loader PowerShell di prima fase, una serie di controlli di anti-monitoraggio e anti-malware.
Solo dopo il loader decrittografa ed esegue uno script PowerShell di seconda fase recuperato da un server remoto (i server C2 utilizzati per il download della seconda fase cambierebbero su base mensile, suggerendo tentativi da parte dell’attore di eludere il rilevamento), che si occupa quindi di avviare la routine principale per l’installazione di estensioni browser per esfiltrare password e wallet.
La versione aggiornata di ViperSoftX avrebbe anche un modulo di scansione per la presenza dei gestori di password KeePass 2 e 1Password. Tra i browser Web presi di mira ci sarebbero Brave, Google Chrome, Microsoft Edge, Mozilla Firefox e Opera.
Come al solito, si consiglia agli utenti di scaricare software solo da piattaforme e fonti ufficiali e di evitare software illegale.
Tra le vittime degli ultimi attacchi ci sarebbero anche utenti italiani.