ViperSoftX 不断进化： 新的 PowerShell 恶意软件具有隐蔽性和持久性

发现的第一个增强功能是使用 mutexes:

“2025年版本使用GUID风格的互斥标识符,并将睡眠时间增加到300秒 – 这延迟了沙盒检测……”

通过用动态生成的GUID替换静态互斥命名,恶意软件不仅逃避检测,而且确保只有一个实例同时运行,从而避开传统的反恶意软件钩。

与2024年的同行不同,它将持久性委托给外部装载机,2025年变体使用三层后备系统自我管理其立足点:

• ①计划任务:名为 WindowsUpdateTask 的 Windows 登录任务。
• ②注册表项:在 HKCU 下运行密钥。
• ③启动文件夹:在用户的启动目录中丢弃的批处理脚本。

“脚本将自己复制到AppData\Microsoft\Windows\Config\winconfig.ps1,”研究人员详细说明,展示了现在如何内置隐身和冗余。

在C2交互方面,恶意软件已经从明文POST和弃用的WebClient调用到加密的XOR编码有效载荷和现代。NET HttpClient API 网络。

“在2025年,它采用了现代的HttpClient。NET API…与合法的软件行为更好地对齐,从而保持在雷达之下。

此外,恶意软件使用巧妙的同步策略不断检查服务器状态:

“每30年一次:检查C2是否重新启动……如果是→重置会话。Else →获取新命令。

这种能力 – 跟踪基础设施重新部署 – 建议专业级后端协调,在商品恶意软件中很少见。

恶意软件现在支持更广泛的侦察:

• ①通过多种回退服务提供公共 IP 地址
• ②系统信息收集
• ③针对像KeePass这样的密码管理器
• ④扩展钱包定位:MetaMask、Ledger、Coinbase、Exodus等。

它甚至在请求格式中模仿浏览器行为,在base64编码的HTTP GET中嵌入元数据,以避免触发入侵检测系统。

有效载荷执行也已经成熟。“当前的变体创建PowerShell工作来运行每个解码的有效载荷,”使检测更加困难,执行更加稳定。

使用 PowerShell 后台作业而不是同步 shell 命令允许恶意软件在后台执行任务时继续静默运行。