È stato osservato che un’estensione dannosa per i browser web basati su Chromium viene distribuita tramite un antico ruba-informazioni di Windows chiamato ViperSoftX. La società di cybersicurezza con sede in Repubblica Ceca ha soprannominato il componente aggiuntivo del browser VenomSoftX a causa delle sue caratteristiche autonome che gli consentono di accedere alle visite dei siti web, rubare credenziali e dati degli appunti e persino scambiare indirizzi di criptovaluta tramite un attacco adversary-in-the-middle (AiTM). ViperSoftX, venuto alla luce per la prima volta nel febbraio 2020, è stato caratterizzato da Fortinet come un trojan di accesso remoto basato su JavaScript e ruba criptovalute. Colin Cowie, analista delle minacce di Sophos, ha documentato all’inizio di quest’anno l’utilizzo di un’estensione del browser da parte del malware per raggiungere i suoi obiettivi di raccolta di informazioni.
“Questo rubatore multi-stadio mostra interessanti capacità di occultamento, nascondendosi tra l’altro come piccoli script PowerShell su una singola riga nel mezzo di grandi file di log dall’aspetto altrimenti innocente”, ha dichiarato il ricercatore di Avast Jan Rubín in una nota tecnica. “ViperSoftX si concentra sul furto di criptovalute, sullo scambio di appunti, sull’impronta digitale del computer infetto, nonché sul download e sull’esecuzione di payload aggiuntivi arbitrari o sull’esecuzione di comandi”. Il vettore di distribuzione utilizzato per propagare ViperSoftX avviene tipicamente tramite software craccati per Adobe Illustrator e Microsoft Office, ospitati su siti di file-sharing. Il file eseguibile scaricato viene fornito con una versione pulita del software craccato insieme a file aggiuntivi che impostano la persistenza sull’host e ospitano lo script PowerShell di ViperSoftX.
Malware per le estensioni di Chrome
Le varianti più recenti del malware sono anche in grado di caricare il componente aggiuntivo di VenomSoftX, recuperato da un server remoto, sui browser basati su Chromium, come Google Chrome, Microsoft Edge, Opera, Brave e Vivaldi. Questo si ottiene cercando i file LNK per le applicazioni del browser e modificando i collegamenti con un’opzione della riga di comando “–load-extension” che punta al percorso in cui è memorizzata l’estensione scompattata. “L’estensione cerca di camuffarsi da estensioni del browser ben note e comuni, come Google Sheets”, ha spiegato Rubín. “In realtà, VenomSoftX è l’ennesimo ruba-informazioni che viene distribuito all’ignara vittima con pieni permessi di accesso a tutti i siti web che l’utente visita dal browser infetto”. Vale la pena di notare che la tattica –load-extension è stata utilizzata anche da un altro ruba-informazioni basato sul browser, noto come ChromeLoader (alias Choziosi Loader o ChromeBack). Anche VenomSoftX, come ViperSoftX, è orchestrato per rubare criptovalute alle sue vittime. Ma a differenza di quest’ultimo, che funziona come un clipper per reindirizzare i trasferimenti di fondi verso un portafoglio controllato dall’aggressore, VenomSoftX interferisce con le richieste API alle borse di criptovalute per prosciugare le risorse digitali.
Lo sviluppo segna un nuovo livello di escalation rispetto al tradizionale scambio di appunti, pur non sollevando alcun sospetto immediato poiché l’indirizzo del portafoglio viene sostituito a un livello molto più fondamentale. Avast ha dichiarato di aver rilevato e bloccato oltre 93.000 infezioni dall’inizio del 2022, con una maggioranza di utenti colpiti in India, Stati Uniti, Italia, Brasile, Regno Unito, Canada, Francia, Pakistan e Sudafrica. Un’analisi degli indirizzi dei portafogli codificati nei campioni rivela che l’operazione ha fruttato ai suoi autori un totale di circa 130.421 dollari all’8 novembre 2022, in varie criptovalute. Il guadagno monetario collettivo è poi sceso a 104.500 dollari. “Poiché le transazioni su blockchain/ledger sono intrinsecamente irreversibili, quando l’utente controlla la cronologia delle transazioni dei pagamenti in seguito, è già troppo tardi”, ha dichiarato Rubín.
