VenomLockX

VenomLockX یک افزونه مرورگر تهدید کننده است که با هدف صریح جمع آوری ارزهای دیجیتال طراحی شده است. افزونه مضر همچنین دارای یک عملکرد کلیپر است، به عنوان راهی برای نظارت بر محتوای ذخیره شده توسط کاربران در کلیپ بورد سیستم های ویندوز آنها و سپس جایگزین کردن آدرس های کیف پول رمزنگاری با آدرس هایی که تحت کنترل عوامل تهدید هستند. این تهدید توسط تهدید مضر دیگری که به عنوان ViperSoftX ردیابی می‌شود، روی دستگاه‌های قربانیان مستقر شده است.

زنجیره عفونت

ViperSoftX تهدیدی است که برای اولین بار در سال 2020 شناسایی شد و گزارش هایی در مورد آن توسط محققان و همچنین کارشناسان infosec منتشر شد. ناقل‌های اصلی عفونت ViperSoftX کرک‌های بازی سلاح‌سازی شده یا فعال‌کننده‌های ابزارهای نرم‌افزار پولی هستند که برای دانلود در پلتفرم‌های تورنت در دسترس هستند. با این حال، کمپین تهدیدآمیز دستخوش چندین تغییر مهم شده است که در گزارش جدیدی که توسط سایر محققان منتشر شده است، توضیح داده شده است.

بر اساس یافته های آنها، حملات ViperSoftX در سال 2022 تشدید شد و تا 8 نوامبر، مجرمان سایبری موفق شدند حدود 130000 دلار از قربانیان خود جمع آوری کنند. هدف اصلی این حملات، کاربران مستقر در ایالات متحده، ایتالیا، هند و برزیل بوده اند. نسخه‌های جدیدتر ViperSoftX نیز شروع به حذف افزونه مرورگر VenomSoftX که قبلاً ناشناخته بود، کرده‌اند.

جزئیات VenomSoftX

این تهدید مضر می‌تواند بر مرورگرهای مبتنی بر کروم، از جمله Chrome، Edge، Opera، Brave و غیره تأثیر بگذارد. این تهدید به‌عنوان «Google Sheets 2.1» یا «Update Manager» است که می‌تواند تنها بر اساس نام آن‌ها برنامه‌های مشروع و مفیدی به نظر برسد. در واقعیت، VenomSoftX می‌تواند شانس بیشتری برای جمع‌آوری ارزهای دیجیتال نسبت به بدافزار ViperSoftX برای عوامل تهدید فراهم کند.

پس از فعال شدن در دستگاه، برنامه افزودنی مرورگر منتظر فراخوانی یک API خاص می ماند و درخواست را دستکاری می کند و در نتیجه وجوه مربوطه به مهاجمان هدایت می شود. چندین مورد از برجسته ترین سرویس های رمزنگاری می توانند تحت تأثیر قرار گیرند - Blockchain.com، Coinbase، Kucoin و Gate.io. وجوه در تراکنش‌های رهگیری شده روی حداکثر موجود تنظیم می‌شود و ارزهای دیجیتال از حساب‌های قربانیان خارج می‌شوند. کلیپ بورد همچنین برای آدرس های کیف پول اضافی نظارت می شود.

VenomSoftX همچنین قادر به جمع آوری رمزهای عبور وارد شده در وب سایت Blockchain.info است. اطلاعات وارد شده در سایر وب سایت ها بررسی می شود تا ببینیم آیا با معیارهای خاصی مطابقت دارد یا خیر و همچنین به عوامل تهدید منتقل می شود.

یکی از نشانه های وجود VenomSoftX بر روی سیستم، بررسی مکان آن است. کاربرگ‌نگار قانونی Google معمولاً در Chrome به‌عنوان یک برنامه تحت chrome://apps/ نصب می‌شود و به‌عنوان افزونه طبقه‌بندی نمی‌شود. این بدان معنی است که اگر یک ورودی Google Sheets را در صفحه افزونه مرورگر پیدا کردید، بهتر است آن را در اسرع وقت حذف کنید.