VenomLockX
VenomLockX je hrozivé rozšíření prohlížeče navržené s jasným cílem sbírat kryptoměny. Škodlivé rozšíření má také funkci clipper, což je způsob, jak monitorovat obsah uložený uživateli ve schránce jejich systémů Windows a poté nahradit jakékoli adresy kryptopeněženek adresami pod kontrolou aktérů hrozeb. Hrozba je nasazena na zařízení obětí další škodlivou hrozbou sledovanou jako ViperSoftX , RAT a krypto únosce napsaný v JavaScriptu.
Infekční řetězec
ViperSoftX je hrozba, která byla poprvé identifikována již v roce 2020, přičemž zprávy o ní publikovali výzkumníci i odborníci na infosec. Hlavní infekční vektory ViperSoftX jsou ozbrojené herní cracky nebo aktivátory pro placené softwarové nástroje dostupné ke stažení na torrentových platformách. Hrozivá kampaň však prošla několika důležitými změnami, jak podrobně popisuje nová zpráva zveřejněná jinými výzkumníky.
Podle jejich zjištění útoky ViperSoftX v roce 2022 zesílily a do 8. listopadu se kyberzločincům podařilo od svých obětí vybrat kolem 130 000 dolarů. Hlavními cíli útoků byli uživatelé v USA, Itálii, Indii a Brazílii. Novější verze ViperSoftX také začaly upouštět dříve neznámé rozšíření prohlížeče VenomSoftX.
Podrobnosti VenomSoftX
Škodlivá hrozba může mít dopad na prohlížeče založené na Chrome, včetně Chrome, Edge, Opera, Brave atd. Hrozba představuje „Google Sheets 2.1“ nebo „Správce aktualizací“, které se mohou zdát jako legitimní a užitečné aplikace pouze na základě jejich názvu. Ve skutečnosti by VenomSoftX mohl poskytnout aktérům hrozeb větší šance na sběr kryptoměn než malware ViperSoftX.
Po aktivaci na zařízení bude rozšíření prohlížeče čekat na zavolání určitého API a bude manipulovat s požadavkem, což má za následek přesměrování souvisejících prostředků na útočníky. Může být ovlivněno několik nejvýznamnějších krypto služeb – Blockchain.com, Coinbase, Kucoin a Gate.io. Prostředky v zachycených transakcích budou nastaveny na dostupné maximum a kryptoměny budou vysávány z účtů obětí. Schránka bude také monitorována pro další adresy peněženky.
VenomSoftX je také schopen shromažďovat hesla zadaná na webu Blockchain.info. Informace zadané na jiných webových stránkách budou zkontrolovány, zda odpovídají určitým kritériím, a také budou předány aktérům hrozeb.
Jedním ze znaků přítomnosti VenomSoftX v systému je kontrola jeho umístění. Legitimní Tabulky Google se obvykle instalují do Chromu jako aplikace pod chrome://apps/ a nejsou klasifikovány jako rozšíření. To znamená, že pokud najdete záznam v Tabulkách Google uvedený na stránce rozšíření prohlížeče, může být nejlepší jej co nejdříve odstranit.
