据威胁检测供应商 Trellix 的安全研究人员称,一种名为 ViperSoftX 的快速变化的信息窃取恶意软件已经演变得更加危险。
ViperSoftX 于 2020 年首次被发现,最近重新出现,能够使用 .NET 公共语言运行时 (CLR) 来混淆其对 PowerShell 命令的使用,Trellix 安全监票员 Mathanraj Thangaraju 和 Sijo Jacob 写道。两人认为,这些命令被进一步伪装,将它们隐藏在免费软件程序AutoIt生成的脚本中。
结果是一个非常令人讨厌的恶意软件,它设法在隐藏环境中运行 PowerShell 命令。
CLR 也称为 .NET 运行时,它允许使用各种兼容语言编码的软件作为托管代码作为 .NET 应用运行。
“通过利用CLR,ViperSoftX可以无缝集成PowerShell功能,使其能够执行恶意功能,同时逃避检测机制,否则可能会标记独立的PowerShell活动,”Thangaraju和Jacob谈到信息窃取程序的最新变体时说。
Microsoft没有回答这个故事的问题。
隐藏良好的链条
以前被发现隐藏在破解软件和盗版应用程序中,这个最新的CLR版本的ViperSoftX反而被发现在通过种子分发的盗版电子书中。
虽然对于阻止已知盗版网站的企业来说,这似乎不是一个巨大的风险,但其报告中包含的 Trellix 示例来自 Excel 公式手册的盗版副本,这表明在企业环境中工作的专业人员被视为目标。
无论其制造商打算感染谁,ViperSoftX 的开发都是为了避免在处理系统信息、加密货币钱包详细信息(及其包含的硬币)、剪贴板内容和其他此类数据时引起注意。
根据 Trellix 对恶意软件代码的检查,ViperSoftX 将命令序列埋藏在一系列安装 AutoIt 脚本、AutoIt 可执行文件和 PowerShell 脚本的虚假 JPG 文件中。反过来,这些任务会设置一系列计划的 Windows 任务,其中一些任务会禁用 Windows 安全功能,例如反恶意软件扫描接口 (AMSI),该接口在执行之前检查所有脚本。
Trellix的分析指出,攻击链中使用的其他脚本被进一步混淆,“使安全解决方案难以识别实际发生的事情”。
“在检查ViperSoftX时,出现了一个明显的模式:攻击者使用AutoIt脚本来隐藏他们的恶意行为,”通过该操作,“AutoIt超越了其良性起源,成为秘密执行PowerShell命令的有力武器。
AutoIt 是一种免费的脚本语言,用于自动执行 Windows GUI 操作和其他脚本命令,它本身并不是恶意的。AutoIt 也不是唯一被 ViperSoftX 开发人员重新利用的合法工具。
“ViperSoftX还采用了一种策略,攻击者有选择地调整攻击性安全脚本中的组件,仅修改必要的元素,”两人指出。
“通过利用这些现有脚本,恶意软件开发人员不仅可以加速开发,还可以专注于改进他们的规避策略,使ViperSoftX成为网络安全领域的强大威胁。”
目前尚不清楚AutoIt的开发人员是否意识到其软件的滥用,或者是否能够通过补丁来缓解它;我们问了,但没有收到回复。
Thangaraju 和 Jacob 认为,ViperSoftX 的功能表明,新一波复杂而敏捷的恶意软件威胁正在爆发。两人建议,防御这种武器需要了解像ViperSoftX这样的恶意软件的目标。
然而,Trellix没有将恶意软件归因于任何特定来源,也没有回答The Register的问题。
之前关于ViperSoftX的报道主要集中在其加密货币窃取功能上,这表明其目标纯粹是为了获得金钱利益。它最新的混淆功能,以及至少部分针对盗版电子书下载的专业人士,表明ViperSoftX的目标可能正在不断发展,就像它的代码一样。
检测详细信息包含在 Trellix 关于此最新 ViperSoftX 变体的报告中,因此请务必相应地查看它们。®
发表评论
您还未登录,请先登录。
登录