VenomLockX

VenomLockX è un'estensione del browser minacciosa, progettata con l'obiettivo esplicito di raccogliere criptovaluta. L'estensione dannosa ha anche una funzionalità di clipper, come un modo per monitorare il contenuto salvato dagli utenti negli appunti dei loro sistemi Windows e quindi sostituire eventuali indirizzi di cripto-wallet con altri sotto il controllo degli autori delle minacce. La minaccia viene distribuita sui dispositivi delle vittime da un'altra pericolosa minaccia tracciata come ViperSoftX , un RAT e crypto hijacker scritto in JavaScript.

Catena di infezioni

ViperSoftX è una minaccia che è stata identificata per la prima volta nel 2020, con rapporti al riguardo pubblicati da ricercatori ed esperti di sicurezza informatica. I principali vettori di infezione di ViperSoftX sono crack di giochi armati o attivatori per strumenti software a pagamento disponibili per il download su piattaforme torrent. Tuttavia, la minacciosa campagna ha subito diversi importanti cambiamenti, come dettagliato da un nuovo rapporto pubblicato da altri ricercatori.

Secondo le loro scoperte, gli attacchi ViperSoftX si sono intensificati nel 2022 e, entro l'8 novembre, i criminali informatici sono riusciti a raccogliere circa $ 130.000 dalle loro vittime. I principali obiettivi degli attacchi sono stati utenti situati negli Stati Uniti, in Italia, in India e in Brasile. Le versioni più recenti di ViperSoftX hanno anche iniziato a eliminare l'estensione del browser VenomSoftX precedentemente sconosciuta.

Dettagli VenomSoftX

La minaccia dannosa può avere un impatto sui browser basati su Chrome, inclusi Chrome, Edge, Opera, Brave, ecc. La minaccia si presenta come "Google SHeets 2.1" o "Gestione aggiornamenti", che potrebbero sembrare applicazioni legittime e utili solo in base ai loro nomi. In realtà, VenomSoftX potrebbe fornire agli autori delle minacce maggiori possibilità di raccogliere criptovalute rispetto al malware ViperSoftX.

Una volta attivata sul dispositivo, l'estensione del browser attenderà la chiamata di una determinata API e manometterà la richiesta, con il risultato che i fondi associati verranno reindirizzati agli aggressori. Molti dei più importanti servizi di crittografia possono essere interessati: Blockchain.com, Coinbase, Kucoin e Gate.io. I fondi nelle transazioni intercettate saranno impostati al massimo disponibile e le criptovalute verranno prelevate dai conti delle vittime. Gli appunti verranno inoltre monitorati per ulteriori indirizzi di portafoglio.

VenomSoftX è anche in grado di raccogliere le password inserite sul sito Web Blockchain.info. Le informazioni inserite su altri siti Web verranno controllate per vedere se corrispondono a determinati criteri e verranno anche trasmesse agli autori delle minacce.

Un segno della presenza di VenomSoftX sul sistema è verificarne la posizione. Il legittimo Fogli Google è in genere installato in Chrome come applicazione in chrome://apps/ e non è classificato come estensione. Ciò significa che se trovi una voce di Fogli Google elencata nella pagina dell'estensione del browser, potrebbe essere meglio rimuoverla il prima possibile.