ViperSoftX se širi preko piratskog softvera

AUTOR ·

Pojava nove kampanje ViperSoftX  zlonamjernog softvera postavlja novu granicu u sajber prijetnjama, gdje se sofisticiranost susreće sa prikrivenošću, može se zaključiti iz izvještaja kompanije AhnLab Security Intelligence Center (ASEC). Korištenjem piratskog softvera i torenta (eng. torrents) za širenje svog uticaja uz upotrebu PowerShell skripti za početno izvršavanje i komunikaciju komandi i kontrole, ovaj zlonamjerni softver je podigao graničnu vrijednost onoga što je potrebno da bi se izbjegao otkrivanje.

ViperSoftX

ViperSoftX se širi preko piratskog softvera; Source: Bing Image Creator

VIPERSOFTX ZLONAMJERNI SOFTVER

ViperSoftX je sofisticirani zlonamjerni softver koji funkcioniše kao PowerShell skripta od početka do kraja. Ova karakteristika ga izdvaja od drugih vrsta zlonamjernog softvera, koji se često oslanjaju na tradicionalne izvršne datoteke ili grupne skripte. Kroz komunikaciju sa svojim komandno-kontrolnim (C&C) serverima koristeći putanje uniformnog identifikator resursa (eng. uniform resource identifier – URI), koje sadrže specifične obrasce. Jednom kada se poveže sa serverom, tiho preuzima dalje korisne podatke (eng. payloads) bez upozorenja korisnika.

 

VBS Downloader i PowerShell Downloader

Kada se govori o preuzimanju korisnih podataka, ViperSoftX zlonamjerni softver koristi VBS Downloader za preuzimanje PowerShell i VBS datoteke sa C&C servera i izvršava ih na zahtev uz mogućnost kreiranja određenog direktorijuma i izvršavanja VBS datoteke ako postoji – sve bez podizanja ikakvih upozorenja kada je u pitanju sigurnosni softver.

A tu je i PowerShell Downloader, koji je dizajniran da preuzme i izvrši PureCrypter i Quasar RAT zlonamjerne softvere. Ova skripta je dizajnirana i da izbjegne otkrivanje dodavanjem putanja za izuzimanje u Windows Defender, efektivno zaobilazeći njegove zaštitne mjere. Ali ono što VBS Downloader zaista izdvaja jeste njegova sposobnost da stekne administratorske privilegije – obezbeđujući da svaki naknadno preuzet zlonamjerni softver radi sa povišenim dozvolama.

Prisustvo komentara na arapskom jeziku ugrađenih u PowerShell i VBScript sadržaje snažno sugeriše da su operateri koji stoje iza ViperSoftX zlonamjernog softvera zaista zlonamjerni akteri koji govore arapski. Ipak zanimljiviji dio ovog otkrića je to što korišćenjem maternjeg jezika za komunikaciju sa zlonamjernim softverom potencijalno omogućava zlonamjernim akterima da izbjegnu otkrivanje bezbjednosnih rješenja dizajniranih za zapadna tržišta.

 

PureCrypter i Quasar RAT

PureCrypter, komercijalni .NET paket koji se prodaje na podzemnim forumima od 2021. godine, a pojavio se kao ključni program za preuzimanje zlonamjernog softvera koji distribuira ViperSoftX. Ova sofisticirana alatka koristi Google biblioteku bafera protokola (eng. Protocol Buffers – ProtoBuf) kako bi olakšala prikrivenu komunikaciju sa serverima za komandu i kontrolu (C&C).

Korištenjem unaprijed definisanih struktura poruka, PureCrypter omogućava zlonamjernim akterima besprijekornu interakciju sa infrastrukturom servera za komandu i kontrolu (C&C). Svestranost PureCrypter leži u njegovoj sposobnosti da ispušta datoteke na različite putanje na kompromitovanim sistemima. Ova taktika omogućava zlonamjernim akterima da prikriju zlonamjerni softver kao legitiman softver, što otkrivanje čini izazovnijim za bezbjednosne kontrole.

Pored PureCrypter zlonamjernog softvera, ViperSoftX zlonamjerni akteri koriste Quasar RAT – alatku otvorenog kôda izgrađenu na .NET programskom okruženju. Quasar RAT nudi široke mogućnosti kontrole nad kompromitovanim sistemima, uključujući daljinsko izvršavanje komandi, praćenje korisničkog unosa (eng. keylogging) i prenos datoteka. Ovaj moćni zlonamjerni softver omogućava zlonamjernim akterima da zadrže postojan pristup i izvuku osjetljive informacije sa inficiranih uređaja.

 

Uticaj

Pojava ViperSoftX zlonamjernog softvera izazvala je zabrinutost među sigurnosnim istraživačima i stručnjacima za sajber bezbjednost, jer on predstavlja značajan rizik za globalnu sajber bezbjednost. Uticaj ViperSoftX zlonamjernog softvera ne može se precijeniti, jer on predstavlja značajnu prijetnju ne samo za pojedinačne sisteme već i za čitave organizacije i industrije.

To znači da kada dođe do infekcije sa ViperSoftX zlonamjernim softverom, korisnici i organizacije mogu doživjeti neovlašteni pristup osjetljivim podacima, finansijske gubitke zbog ukradenih sredstava ili kompromitovanih transakcija i narušavanje reputacije zbog povezivanja sa sajber napadom. Pored, sposobnost ViperSoftX zlonamjernog softvera da tiho preuzima dodatne korisne podatke otežava bezbjednosnom softveru da otkrije i ukloni zlonamjerni softver. Ovo može dovesti do produženih perioda infekcije, omogućavajući zlonamjernim akterima da zadrže pristup osjetljivim sistemima i podacima.

Pored toga, činjenica da ViperSoftX koristi PowerShell skripte za početno izvršavanje i C&C komunikaciju čini posebno izazovnim otkrivanje korištenjem tradicionalnih bezbjednosnih mjera. To je zato što se mnogi sistemi oslanjaju na PowerShell kao legitiman alat za skriptovanje zadataka, što otežava razlikovanje između zlonamjerne aktivnosti i stvarnih slučajeva upotrebe. Zbog svega navedenog, potencijal za ugrožavanje podataka, finansijske gubitke i narušavanje reputacije je veoma realan, zbog čega je imperativ da se preduzmu hitne mjere kako bi se ublažili rizici povezani sa ViperSoftX zlonamjernim softverom.

 

ZAKLJUČAK

Analiza ViperSoftX zlonamjernog softvera je otkrila sofisticiranu prijetnju koja koristi PowerShell skripte i komunicira sa C&C serverima koristeći putanje uniformnog identifikatora resursa (URI) koje sadrže specifične obrasce. Tu je još potrebno naglasiti upotrebu komentara na arapskom jeziku koji potencijalno omogućavaju zlonamjernom softveru da izbjegne otkrivanje od strane bezbjednosnih rješenja dizajniranih za zapadna tržišta, ali ukazuje i na umješnost zlonamjernih aktera koji tečno govore ovaj jezik. Ovo ponašanje se razlikuje od drugih varijanti zlonamjernog softvera, što ga čini glavnim kandidatom za dalje proučavanje.

Upotreba piratskog softvera kao vektora za distribuciju pokazuje da se čak i naizgled bezopasni programi mogu sakriti zlonamjerni kôd koji koji će na kraju inficirati uređaj. Ovo služi kao podsjetnik korisnicima da budu izuzetno oprezni kada preuzimaju softver iz neprovjerenih izvora i da daju prioritet bezbjednosti svojih sistema.

Na kraju, ostaje poziv za stručnjake u sajber bezbjednosti da ostanu oprezni u svojim naporima da se suprotstave novim prijetnjama kao što je ViperSoftX. Nastavkom praćenja i proučavanja ovakvih kampanja, moguće je steći vrijedna znanja koja mogu pomoći da se spriječe slični napadi u budućnosti.

 

ZAŠTITA

Evo nekoliko preporuka za zaštitu od ViperSoftX zlonamjernog softvera:

  1. Korisnici bi trebalo da budu oprezni kada preuzimaju softver i da izbjegavaju piratske verzije koje se mogu maskirati kao legitimni programi. Torent lokacije i drugi neprovjereni izvori mogu da distribuiraju zlonamjerne datoteke kao što je ViperSoftX, što može da ugrozi bezbjednost sistema. Umjesto da se oslanjaju na ove platforme, korisnici bi trebalo da se odluče za zvanične internet stranice ili ovlašćene distributere za preuzimanje softvera;
  2. Redovno ažuriranje antivirusnih rješenja je ključno u zaštiti od novih prijetnji kao što je ViperSoftX zlonamjerni softver. Uvjeriti se da izabrano antivirusno rješenje ima zaštitu u realnom vremenu i mogućnosti napredne analize za otkrivanje ranije nepoznatog zlonamjernog softvera. Ovo će pomoći da se spriječi početno izvršavanje PowerShell skripti od strane ViperSoftX zlonamjernog softvera, što može dovesti do sprečavanja infekcije uređaja;
  3. Organizacije i pojedinci moraju da usvoje stroge prakse sajber bezbjednosti kako bi spriječili ViperSoftX. Ovo uključuje edukaciju korisnika o navikama bezbjednog pregledanja, izbjegavanje sumnjivih veza ili priloga i redovno ažuriranje softvera i operativnih sistema najnovijim bezbjednosnim ispravkama;
  4. Redovno praćenje aktivnosti sistema može pomoći u identifikaciji potencijalnih prijetnji kao što je ViperSoftX zlonamjerni softver prije nego što izazovu značajnu štetu. Korisnici treba da paze na performanse svog sistema, mrežni saobraćaj i druga relevantna mjerila kako bi otkrili bilo kakvo neobično ponašanje koje može ukazivati na zlonamjerno prisustvo;
  5. PowerShell je moćan alat koji zlonamjerni softver kao što je ViperSoftX može da iskoristi za izvršavanje zlonamjernih skripti. Da bi se ublažio ovaj rizik, korisnici bi trebalo da ograniče privilegije PowerShell izvršavanja na sistemima, obezbeđujući da samo ovlašćeno osoblje ima pristup ovim mogućnostima;
  6. Redovne rezervne kopije su neophodne u zaštiti od gubitka podataka uslijed ViperSoftX infekcija ili drugih bezbjednosnih incidenata. Korisnici i organizacije moraju da obezbijede da redovno prave rezervne kopije kritičnih datoteka, koristeći bezbjedna rješenja za skladištenje kao što su šifrovani eksterni diskovi ili usluge u oblaku;
  7. Stavljanje aplikacija na listu dozvoljenih aplikacija je efikasan način da se kontroliše koje aplikacije mogu da rade na sistemu, sprečavajući da se zlonamjerni softveri kao što je ViperSoftX uopšte izvrše. Dozvoljavajući samo ovlaštenom softveru da se izvršava, korisnici mogu da smanje rizik od infekcije i ugrožavanja podataka uzrokovanih ovim vrstama zlonamjernog softvera;
  8. Pejzaž sajber bezbjednosti se stalno razvija, sa novim prijetnjama koje se svakodnevno pojavljuju. Da bi bili ispred ovih rizika, korisnici bi trebalo da budu informisani o najnovijim bezbjednosnim savjetima i izvještajima obavještajnih podataka o prijetnjama iz renomiranih izvora. To će omogućiti da se preduzmu proaktivne mjere protiv potencijalnih prijetnji pre nego što nanesu značajnu štetu;

Prateći ove preporuke, korisnici mogu značajno smanjiti rizik da postanu žrtve ViperSoftX napada.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.