VenomLockX

VenomLockX to groźne rozszerzenie przeglądarki, zaprojektowane z wyraźnym celem zbierania kryptowaluty. Szkodliwe rozszerzenie posiada również funkcję clippera, która umożliwia monitorowanie treści zapisywanych przez użytkowników w schowku ich systemów Windows, a następnie zastępowanie dowolnych adresów portfeli kryptowalut adresami znajdującymi się pod kontrolą cyberprzestępców. Zagrożenie jest wdrażane na urządzeniach ofiar przez inne szkodliwe zagrożenie śledzone jako ViperSoftX , porywacz RAT i kryptowaluty napisany w JavaScript.

Łańcuch infekcji

ViperSoftX to zagrożenie, które zostało po raz pierwszy zidentyfikowane w 2020 roku, a raporty na ten temat zostały opublikowane przez badaczy, a także ekspertów ds. bezpieczeństwa informacji. Główne wektory infekcji ViperSoftX to uzbrojone cracki do gier lub aktywatory płatnych narzędzi programowych dostępnych do pobrania na platformach torrent. Jednak groźna kampania przeszła kilka ważnych zmian, jak wyszczególniono w nowym raporcie opublikowanym przez innych badaczy.

Według ich ustaleń ataki ViperSoftX nasiliły się w 2022 roku, a do 8 listopada cyberprzestępcom udało się zebrać od swoich ofiar około 130 000 dolarów. Głównymi celami ataków byli użytkownicy z USA, Włoch, Indii i Brazylii. Nowsze wersje ViperSoftX zaczęły również usuwać nieznane wcześniej rozszerzenie przeglądarki VenomSoftX.

Szczegóły VenomSoftX

Szkodliwe zagrożenie może wpływać na przeglądarki oparte na Chrome, w tym Chrome, Edge, Opera, Brave itp. Zagrożenie stanowi „Google SHeets 2.1” lub „Update Manager”, które mogą wyglądać na legalne i przydatne aplikacje na podstawie samych ich nazw. W rzeczywistości VenomSoftX może zapewnić cyberprzestępcom większe szanse na zbieranie kryptowalut niż złośliwe oprogramowanie ViperSoftX.

Po aktywacji na urządzeniu rozszerzenie przeglądarki będzie czekać na wywołanie określonego interfejsu API i będzie manipulować żądaniem, w wyniku czego powiązane środki zostaną przekierowane do atakujących. Może to mieć wpływ na kilka najbardziej znanych usług kryptograficznych - Blockchain.com, Coinbase, Kucoin i Gate.io. Środki w przechwyconych transakcjach zostaną ustawione na dostępne maksimum, a kryptowaluty zostaną wypompowane z kont ofiar. Schowek będzie również monitorowany pod kątem dodatkowych adresów portfeli.

VenomSoftX jest również w stanie zbierać hasła wprowadzone na stronie Blockchain.info. Informacje wprowadzane na innych stronach internetowych będą sprawdzane pod kątem zgodności z określonymi kryteriami, a także będą przekazywane cyberprzestępcom.

Jedną z oznak obecności VenomSoftX w systemie jest sprawdzenie jego lokalizacji. Legalne Arkusze Google są zazwyczaj instalowane w Chrome jako aplikacja pod adresem chrome://apps/ i nie są klasyfikowane jako rozszerzenie. Oznacza to, że jeśli na stronie rozszerzenia przeglądarki znajdziesz wpis Arkuszy Google, najlepszym rozwiązaniem może być jak najszybsze usunięcie go.