Los investigadores de Avast, líder mundial en seguridad digital y privacidad, han publicado un análisis en profundidad de ViperSoftX, un ladrón de información utilizado, principalmente, para robar criptomonedas. Este ladrón infeccioso suele instalar una extensión del navegador, que el equipo Avast ha denominado VenomSoftX, con el fin de obtener acceso completo a los navegadores Chromium. ViperSoftX se propaga principalmente a través de versiones de software crackeadas de Adobe Illustrator, Corel Video Studio y Microsoft Office, que se distribuyen habitualmente a través de torrents. La compañía ha bloqueado a más de 93.000 intentos de infección de ViperSoftX en todo el mundo desde enero de 2022, entre los cuales s el foco principal ha estado en India, Estados Unidos e Italia. Avast también ha protegido a más de 1.000 usuarios españoles de este ladrón de información.
“Estimamos que los ciberdelincuentes detrás de ViperSoftX han robado más de 130.000 dólares en criptodivisas, robando Bitcoins, Ethereum, Dogecoins, Bitcoin Cach, Cosmos (ATOM), Tezos y Dash”, especificó Jan Rubin, Investigador de Malware de Avast. “Cuando la gente descarga una versión crackeada de un software caro, tiene la intención de ahorrar dinero, aunque habitualmente acaban perdiéndolo. En este caso, en lugar de descargar el software deseado, la gente descarga un archivo llamado ‘Activator.exe’ o ‘Patch.exe’, y al ejecutarlo, sus ordenadores se infectan con el ladrón de información”, añade.
Capacidades de robo de ViperSoftX
ViperSoftX es capaz de robar información relacionada con el dispositivo infectado, incluyendo el nombre del ordenador o del usuario, detalles sobre el sistema operativo y su arquitectura, llegando incluso a saber si el dispositivo dispone de un antivirus activo. ViperSoftX roba las criptomonedas almacenadas localmente en el dispositivo infectado, en el software de criptomonedas y en las extensiones del navegador, monitorizando, a su vez, el portapapeles en busca de direcciones de carteras de criptomonedas para realizar el intercambio. Además, el ladrón de información registra criptomonedas y otras aplicaciones financieras.
Por ejemplo, si se detecta una dirección de cuenta de Bitcoin, el malware sustituye el contenido del portapapeles por la dirección del atacante, enviando el dinero directamente a la cuenta del ciberdelincuente. Las criptomonedas que roba el ladrón de información incluyen: BTC, BCH, BNB, ETH, XMR, XRP, DOGE y DASH.
Además, el ladrón tiene funcionalidades de troyano de acceso remoto (RAT) y, por lo tanto, puede ejecutar comandos arbitrarios, descargar cargas útiles adicionales proporcionadas por el servidor de C&C, e incluso, puede eliminarse a sí mismo del sistema infectado.
Capacidades de robo de la extensión del navegador VenomSoftX
La extensión maliciosa, VenomSoftX, que ViperSoftX instala silenciosamente, proporciona a los atacantes acceso completo a los navegadores de las víctimas, como Chrome, Edge, Brave y Opera. VenomSoftX se disfraza de extensiones conocidas del navegador, como Google Sheets. La extensión engancha solicitudes de API en algunos de los intercambios de criptomonedas más populares, como Blockchain.com, Binance, Coinbase, Gate.io y Kucoin. Cuando se llama a una API para enviar o retirar criptomonedas, la extensión VenomSoftX manipula la solicitud para redirigir todas las criptomonedas de la cuenta de las víctimas a la cuenta de los atacantes. Este método funciona a un nivel más bajo que el intercambio común de portapapeles, por lo que es muy difícil de detectar. La extensión también es capaz de robar contraseñas de criptointercambio.
Avast ofrece la solución Avast One para proteger a los usuarios de ViperSoftX y VenomSoftX.
El análisis completo de ViperSoftX se puede encontrar en el blog de Avast Decoded.
