Специалисты компании Avast сообщили об активизации троянца удаленного доступа для Windows-устройств ViperSoftX. Этот зловред известен с 2020 года, изначально он был описан исследователями кибербезопасности Cerberus и Колином Коуи, а затем стал предметом отчета компании Fortinet. Но сообщение Avast заметно расширяет представления об этом вредоносном ПО.
С начала года защитные решение Avast идентифицировали и предотвратили порядка 93 тысяч попыток заражения систем клиентов компании троянцем ViperSoftX. Основная масса атак пришлась на клиентов в США, Италии, Бразилии и Индии. Троянец распространяется главным образом через torrent-файлы со взломанными версиями популярных игр и ключами для активации платного программного обеспечения. После инфицирования системы зловред устанавливает вредоносное расширение VenomSoftX для браузеров Chrome, Brave, Edge и Opera. Оно выдается за приложение Google Sheets 2.1 для повышения эффективности работы.
В действительности это опасный инструмент для похищения криптовалюты. Расширение перехватывает запросы пользователя к ведущим криптовалютным сервисам, включая Blockchain.com, Binance, Coinbase, Gate.io и Kucoin, чтобы «составить представление» о криптоактивах жертвы. Также VenomSoftX похищает содержимое буфера обмена, в том числе адреса кошельков и пароли, тем самым позволяя злоумышленникам авторизовывать транзакции и перенаправлять средства в свои кошельки. Исследователи Avast смогли обнаружить адреса двух кошельков, ассоциированных с атаками VenomSoftX и установить, что на 8 ноября нынешнего года на них было переведено более 130 тысяч долларов средств, похищенных у жертв атак.