Secondo Trend Micro, i password manager sono il nuovo obiettivo dell’info-stealing ViperSoftX, per rubare dati e credenziali nelle estensioni dei browser. Una nuova versione del malware colpisce, infatti, KeePass e 1Password, grazie a nuove funzionalità di crittografia del codice e altre che gli consentono di evadere il rilevamento da parte dei software di sicurezza.
“L’information-stealing malware ViperSoftX è noto dal 2020”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “è interessante notare come questa minaccia sia evoluta nel tempo”.
Ecco come proteggersi.
Indice degli argomenti
Info-stealing ViperSoftX all’attacco dei password manager
ViperSoftX è un info-stealing che ruba vari dati da computer infetti. Il vettore d’infezione sono software crackati, attivatori o key generator o si maschera dietro programmi.
Il malware è anche noto per installare estensioni malevoli note come VenomSoftX sul browser Chrome. La prima traccia risale al 2020 come RAT (remote access trojan) basato su JavaScript e hijacker di criptovalute. Nel novembre 2022, Avast riportava che ViperSoftX circolava già con una più potente versione. 93 mila attacchi contro vittime in USA, Italia, Brasile e India.
La sua evoluzione nel tempo è interessante. “Innanzitutto”, continua Paganini, “il team di sviluppo ne ha potenzialo le capacità facendo sì che possa rubare informazioni da un numero crescente di web browser, crypto wallet, e persino password manager”.
Nell’ultima versione, analizzata da Trend Micro, i browser sotto attacco includono Brave, Edge, Opera e anche Firefox. Ma, ancora secondo Paganini, “è importante anche evidenziare come gli autori abbiano nel tempo affinato le capacità di evasione ed anti-analisi della minaccia rendendola più insidiosa”.
Trend Micro riporta che l’info-stealing ViperSoftX ora colpisce sia utenti consumer che di fascia Enterprise. Detengono il 50% delle attività di rilevamento paesi come Australia, Giappone, Stati, India, Taiwan, Malesia, Francia e Italia.
I dettagli tecnici
ViperSoftX impiega diverse funzionalità anti-detection, anti-analysis, e stealth-boosting, a partire dall’uso della DLL sideloading per operare nel contesto di un processo attendibile, evitando di far scattare allarmi.
Il malware cerca anche specifici tool di virtualizzazione e monitoraggio come VMWare o Process Monitor e prodotti antivirus come Windows Defender ed ESET, prima di infettare.
Molto interessante è l’uso del Byte mapping da parte del malware per cifrare il suo codicee, ri-mappare la disposizione dei shellcode byte perché decifrare ed analizzare senza avere la mappa corretta è più complicato e fa perdere tempo.
I cryptowallet colpiti
Secondo Avast, l’info-stealing VenomSoftX attaccava Blockchain, Binance, Kraken, eToro, Coinbase, Gate.io e Kucoin.
L’ultima variante, secondo Trend Micro, ha aggiunto i seguenti wallet:
- Armory
- Atomic Wallet
- Binance
- Bitcoin
- Blockstream Green
- Coinomi
- Delta
- Electrum
- Exodus
- Guarda
- Jaxx Liberty
- Ledger Live
- Trezor Bridge
- Coin98
- Coinbase
- MetaMask
- Enkrypt
Come proteggersi dall’info-stealing ViperSoftX
“Le caratteristiche descritte”, mette in guardia Paganini, “rendono questa minaccia particolarmente insidiosa, per questo motivo è essenziale condividere gli indicatori di compromissione associati, ovvero quelle informazioni che ci consentono di individuare il codice malevolo all’interno di un sistema”.
Inoltre, il malware ha incorporato un exploit per la vulnerabilità CVE-2023-24055 che permette il recupero di password archiviate in chiaro.
Occorre evitare di scaricare software crackati, non solo per motivi di copyright, ma anche per evitare di cadere vittime di questi attacchi. Bisogna effettuare il download di software solo dai marketplace legittimi. Inoltre, è necessario mantenere aggiornati sistemi operativi, app e sistemi di sicurezza.
“Purtroppo, ViperSoftX è noto aver preso di mira utenti finali così come aziende”, conclude Paganini, “e per entrambe le categorie di vittime, l’Italia è tra i Paesi più colpiti da questo malware”.
