VenomLockX

VenomLockX is een bedreigende browserextensie, ontworpen met het expliciete doel om cryptocurrency te verzamelen. De schadelijke extensie heeft ook een clipper-functionaliteit, als een manier om de inhoud te controleren die door gebruikers is opgeslagen op het klembord van hun Windows-systemen en vervolgens eventuele crypto-wallet-adressen te vervangen door adressen die onder controle staan van de bedreigingsactoren. De dreiging wordt op de apparaten van de slachtoffers ingezet door een andere schadelijke dreiging die wordt gevolgd als ViperSoftX , een RAT- en cryptokaper geschreven in JavaScript.

Infectie keten

De ViperSoftX is een dreiging die voor het eerst werd geïdentificeerd in 2020, en er werden rapporten over gepubliceerd door zowel onderzoekers als infosec-experts. De belangrijkste infectievectoren van ViperSoftX zijn bewapende spelcracks of activatoren voor betaalde softwaretools die kunnen worden gedownload op torrent-platforms. De dreigende campagne heeft echter verschillende belangrijke veranderingen ondergaan, zoals beschreven in een nieuw rapport van andere onderzoekers.

Volgens hun bevindingen zijn de ViperSoftX-aanvallen in 2022 geïntensiveerd en op 8 november zijn de cybercriminelen erin geslaagd om ongeveer $ 130.000 van hun slachtoffers te verzamelen. De belangrijkste doelen van de aanvallen waren gebruikers in de VS, Italië, India en Brazilië. De nieuwere ViperSoftX-versies zijn ook begonnen met het laten vallen van de voorheen onbekende VenomSoftX-browserextensie.

VenomSoftX-details

De schadelijke dreiging kan van invloed zijn op Chrome-gebaseerde browsers, waaronder Chrome, Edge, Opera, Brave, enz. De dreiging doet zich voor als 'Google SHeets 2.1' of 'Update Manager', wat alleen al op basis van hun naam legitieme en nuttige applicaties kan lijken. In werkelijkheid zou VenomSoftX de bedreigingsactoren betere kansen kunnen bieden om cryptocurrencies te verzamelen dan de ViperSoftX-malware.

Eenmaal geactiveerd op het apparaat, wacht de browserextensie tot een bepaalde API wordt aangeroepen en knoeit met het verzoek, waardoor het bijbehorende geld wordt omgeleid naar de aanvallers. Verschillende van de meest prominente cryptodiensten kunnen worden beïnvloed: Blockchain.com, Coinbase, Kucoin en Gate.io. Het geld in de onderschepte transacties wordt ingesteld op het beschikbare maximum en de cryptocurrencies worden overgeheveld van de rekeningen van de slachtoffers. Het klembord wordt ook gecontroleerd op aanvullende portemonnee-adressen.

VenomSoftX is ook in staat om wachtwoorden te verzamelen die zijn ingevoerd op de Blockchain.info-website. Informatie die op andere websites wordt ingevoerd, wordt gecontroleerd om te zien of deze aan bepaalde criteria voldoet en wordt ook doorgegeven aan de bedreigingsactoren.

Een teken van de aanwezigheid van VenomSoftX op het systeem is het controleren van de locatie. De legitieme Google Spreadsheets wordt doorgaans in Chrome geïnstalleerd als een applicatie onder chrome://apps/ en wordt niet geclassificeerd als een extensie. Dit betekent dat als u een Google Spreadsheets-item vindt dat wordt weergegeven op de extensiepagina van de browser, u dit misschien het beste zo snel mogelijk kunt verwijderen.