Os pesquisadores da Avast publicaram uma análise sobre o ViperSoftX, um ladrão de informações usado, principalmente, para roubar criptomoedas. Segundo os especialistas, geralmente, este malware instala uma extensão no navegador, batizada de VenomSoftX, para obter acesso total aos navegadores baseados no código Chromium.
A Avast informa que o ViperSoftX se espalha principalmente por meio de versões de software crackeadas do Adobe Illustrator, Corel Video Studio e Microsoft Office, comumente distribuídas em torrents. Os três principais países identificados pelos pesquisadores da Avast como alvos do malware são Índia, Estados Unidos e Itália. A empresa também tem registros de tentativas de ataques no Brasil.
“A estimativa é que os cibercriminosos por trás do ViperSoftX roubaram mais de US$ 130 mil em criptomoedas, furtando Bitcoins, Ethereum, Dogecoins, Bitcoin Cach, Cosmos (ATOM), Tezos e Dash”, diz Jan Rubin, pesquisador de malware da Avast. “Quando as pessoas baixam a versão crackeada de um software, elas pretendem economizar, mas muitas vezes acabam perdendo dinheiro. Frequentemente observamos malware disfarçado de software crackeado e recomendamos que as pessoas tenham cuidado extra e se atenham às versões oficiais. Nesse caso, em vez de baixar o software desejado, as pessoas baixam um arquivo executável chamado ‘Activator.exe’ ou ‘Patch.exe’ e, após a execução, os seus computadores são infectados com um ladrão de informações”.
Capacidades de roubo do ViperSoftX
O ViperSoftX consegue roubar informações relacionadas ao dispositivo infectado, incluindo nome do computador, nome de usuário, detalhes sobre o sistema operacional e a sua arquitetura, e saber se o dispositivo conta com um software antivírus ativo. O ViperSoftX rouba criptomoedas armazenadas localmente no dispositivo infectado, através dos aplicativos de criptomoeda e das extensões do navegador, além de monitorar a área de transferência em busca de endereços de carteiras de criptomoedas. Além disso, o malware faz o registro em aplicativos de criptomoedas e outros apps financeiros.
O ViperSoftX verifica o conteúdo da área de transferência para detectar endereços de carteiras digitais. Se um endereço for detectado, ele substitui o conteúdo da área de transferência pelo endereço do cibercriminoso, enviando o dinheiro diretamente para a conta do invasor. Entre as criptomoedas roubadas estão BTC, BCH, BNB, ETH, XMR, XRP, DOGE e DASH.
O ladrão também tem funcionalidades de trojan de acesso remoto (RAT) e pode, portanto, executar comandos arbitrários na linha de comando, baixar cargas adicionais fornecidas pelo servidor C&C e se autorremover do sistema infectado.
Capacidades de roubo da extensão do navegador VenomSoftX
A extensão maliciosa VenomSoftX, instalada silenciosamente pelo ViperSoftX, fornece aos invasores o acesso total aos navegadores das vítimas, como Chrome, Edge, Brave e Opera. O VenomSoftX se disfarça como extensões de navegadores conhecidos, como o Google Sheets. A extensão atrai as solicitações de API em algumas das trocas de criptografia mais populares, como Blockchain.com, Binance, Coinbase, Gate.io, and Kucoin.
Quando uma API é chamada para enviar ou retirar criptomoedas, a extensão VenomSoftX adultera a solicitação para redirecionar todas as criptomoedas da conta das vítimas para a conta dos cibercriminosos. Esse método funciona num nível mais baixo do que a troca comum da área de transferência, tornando-o muito difícil de detectar. A extensão também consegue roubar senhas de criptografia, segundo os especialistas da Avast.
