Eine neue Version einer bereits aktiven Malware rückt nun 1Password – unserer Meinung nach der beste Passwort-Manager für Familien – und KeePass ins Visier.
ViperSoftX ist ein Infostealer, der bereits hinter Krypto-Wallets her war, aber jetzt mehr davon angreift, zusätzlich zu mehreren Webbrowsern – nicht nur Google Chrome – und auch Passwort-Managern.
Es hat jetzt auch eine stärkere Code-Verschlüsselung und kann die Erkennung durch Antiviren-Tools besser vermeiden.
Neue Version
ViperSoftX kann laut Sicherheitsforschern aber die bösartige Chrome-Erweiterung VenomSoftX installieren Trend Micro (öffnet in neuem Tab)kann es jetzt auch Microsoft Edge, Mozilla Firefox, Opera und Brave infizieren.
Die Malware wurde erstmals im Jahr 2020 entdeckt, als sie mit einem JavaScript-basierten RAT (Remote Access Trojaner) Kryptowährung stahl. Bis 2022 jedoch Avast (öffnet in neuem Tab) stellte fest, dass es in seinen Fähigkeiten erheblich fortgeschritten war, wobei der Cybersicherheitsanbieter behauptete, dass es fast 100.000 Angriffe auf seine Kunden durch die Malware im Laufe des letzten Jahres größtenteils gestoppt hatte. Die meisten Opfer stammten aus den USA, Italien, Brasilien und Indien.
Es scheint jedoch, dass ViperSoftX seine globale Reichweite erweitert hat, wobei Trend Micro weitere prominente Aktivitäten in Australien, Japan, Taiwan, Malaysia und Frankreich entdeckt. Unternehmen und Verbraucher werden gleichermaßen angegriffen. Analysten fanden heraus, dass die Malware oft in Software-Cracks und Aktivatoren versteckt ist.
Trend Micros hat festgestellt, dass die neueste Version von ViperSoftX nicht nur viele weitere Krypto-Wallets angreift, sondern auch nach Dateien sucht, die mit 1Password und KeePass in Verbindung stehen, und versucht, Daten zu stehlen, die mit ihren Browsererweiterungen zusammenhängen.
Ein als CVE-2023-24055 verfolgter Exploit ermöglicht den Export gespeicherter Passwörter in eine reine Textdatei, aber Trend Micro hat jetzt Beweise dafür gefunden, dass dies von ViperSoftX verwendet wird.
Allerdings erzählte es Piepender Computer (öffnet in neuem Tab) dass es in späteren Phasen des Angriffs die Tresore der Benutzer stehlen könnte, sobald die Malware erfasst und Daten aus dem System des Opfers extrahiert und an den Angreifer gesendet hat.
Noch besorgniserregender ist, dass die neue ViperSoftX DLL-Sideloading verwendet, um fälschlicherweise als vertrauenswürdiger Prozess erkannt zu werden und so von Sicherheitssoftware unentdeckt zu bleiben. Es prüft auch, ob Überwachungstools wie VMWare oder Process Monitor und Antivirensoftware wie Windows Defender und ESET auf dem System vorhanden sind, bevor es seine Prozesse startet.
Es verwendet auch Byte-Mapping, eine Technik, um seinen Code so zu verschlüsseln, dass er ohne die richtige Zuordnung viel schwieriger zu entschlüsseln ist.