Une nouvelle version d’un malware déjà actif se concentre désormais sur 1Password – à notre avis, le meilleur gestionnaire de mots de passe pour les familles – et KeePass.
ViperSoftX est un voleur d’informations qui a déjà recherché des portefeuilles cryptographiques, mais il en attaque maintenant davantage, en plus de plusieurs navigateurs Web – pas seulement Google Chrome – et des gestionnaires de mots de passe également.
Il a également un cryptage de code plus fort maintenant et évite mieux la détection des outils antivirus.
Nouvelle version
ViperSoftX peut installer l’extension Chrome malveillante VenomSoftX, mais selon les chercheurs en sécurité Trend Micro (s’ouvre dans un nouvel onglet)il peut désormais également infecter Microsoft Edge, Mozilla Firefox, Opera et Brave.
Le malware a été découvert pour la première fois en 2020 en train de voler de la crypto-monnaie à l’aide d’un RAT basé sur JavaScript (cheval de Troie d’accès à distance). D’ici 2022, cependant, Avast (s’ouvre dans un nouvel onglet) a constaté qu’il avait considérablement progressé dans ses capacités, le fournisseur de cybersécurité affirmant qu’il avait arrêté près de 100 000 attaques contre ses clients à partir du logiciel malveillant pendant la majeure partie de l’année dernière. La plupart des victimes étaient basées aux États-Unis, en Italie, au Brésil et en Inde.
Il semble cependant que ViperSoftX ait maintenant étendu sa portée mondiale, Trend Micro détectant une activité importante supplémentaire en Australie, au Japon, à Taïwan, en Malaisie et en France. Les entreprises et les consommateurs sont également ciblés. Les analystes ont découvert que le logiciel malveillant est souvent caché dans les fissures et les activateurs logiciels.
En plus d’attaquer maintenant de nombreux autres portefeuilles cryptographiques, la dernière version de ViperSoftX a été découverte par Trend Micros comme recherchant les fichiers associés à 1Password et KeePass, et tentant de voler des données liées à leurs extensions de navigateur.
Un exploit identifié comme CVE-2023-24055 permet d’exporter les mots de passe stockés dans un fichier texte brut, mais Trend Micro a maintenant trouvé des preuves que cela est utilisé par ViperSoftX.
Cependant, il a dit à BleepingComputer (s’ouvre dans un nouvel onglet) qu’il pourrait voler les coffres-forts des utilisateurs dans les dernières étapes de l’attaque, une fois que le logiciel malveillant s’est installé et a extrait les données du système de la victime et les a envoyées à l’auteur de la menace.
Plus inquiétant encore, le nouveau ViperSoftX utilise le chargement latéral de DLL afin d’être reconnu à tort comme un processus de confiance, restant ainsi non détecté par les logiciels de sécurité. Il vérifie également si des outils de surveillance tels que VMWare ou Process Monitor et des logiciels antivirus tels que Windows Defender et ESET sont présents sur le système avant de commencer ses processus.
Il utilise également le mappage d’octets, une technique pour chiffrer son code d’une manière qui le rend beaucoup plus difficile à déchiffrer sans avoir la bonne carte pour le faire.