VenomLock X

O VenomLockX é uma extensão de navegador ameaçadora, projetada com o objetivo explícito de coletar cripto-moedas. A extensão prejudicial também possui uma funcionalidade de clipper, como uma forma de monitorar o conteúdo salvo pelos usuários na área de transferência dos seus sistemas Windows e, em seguida, substituir quaisquer endereços de carteiras de cripto-moeda por aqueles sob o controle dos agentes da ameaça. A ameaça está sendo implantada nos dispositivos das vítimas por outra ameaça prejudicial, rastreada como ViperSoftX, um RAT e sequestrador de moeda digital escrito em JavaScript.

A Cadeia de Infecção

O ViperSoftX é uma ameaça que foi identificada pela primeira vez em 2020, com relatórios publicadoelos pesquisadores e especialistas em segurança da informação. Os principais vetores de infecção do ViperSoftX são cracks de jogos armados ou ativadores para ferramentas pagas de software disponíveis para download em plataformas de torrent. No entanto, a campanha ameaçadora passou por várias mudanças importantes, conforme detalha um novo relatório divulgado por outros pesquisadores.

De acordo com suas descobertas, os ataques do ViperSoftX se intensificaram em 2022 e, em 8 de novembro, os cibercriminosos conseguiram coletar cerca de US$130.000 de suas vítimas. Os principais alvos dos ataques são os usuários localizados nos Estados Unidos, Itália, Índia e Brasil. As versões mais recentes do ViperSoftX também começaram a remover a extensão do navegador VenomSoftX, anteriormente desconhecida.

Detalhes sobre o VenomSoftX

A ameaça prejudicial pode afetar navegadores baseados no Chrome, incluindo o Chrome, Edge, Opera, Brave, etc. A ameaça se apresenta como 'Google SHeets 2.1' ou 'Update Manager', que podem parecer aplicativos legítimos e úteis com base apenas nos seus nomes. Na realidade, o VenomSoftX poderia fornecer aos agentes de ameaças melhores chances de coletar cripto-moedas do que o malware ViperSoftX.

Uma vez ativada no dispositivo, a extensão do navegador aguardará a chamada de uma determinada API e adulterará a solicitação, resultando no redirecionamento dos fundos associados aos invasores. Vários dos serviços criptográficos mais proeminentes podem ser afetados - Blockchain.com, Coinbase, Kucoin e Gate.io. Os fundos nas transações interceptadas serão definidos para o máximo disponível e as criptomoedas serão desviadas das contas das vítimas. A área de transferência também será monitorada para endereços de carteira adicionais.

O VenomSoftX também é capaz de coletar senhas inseridas no site Blockchain.info. As informações inseridas em outros sites serão verificadas para ver se correspondem a determinados critérios e também serão transmitidas aos agentes da ameaça.

Um sinal da presença do VenomSoftX no sistema é verificar sua localização. O legítimo Planilhas do Google normalmente é instalado no Chrome como um aplicativo no chrome://apps/ e não é classificado como uma extensão. Isso significa que, se você encontrar uma entrada do Planilhas Google listada na página de extensão do navegador, talvez seja melhor removê-la o mais rápido possível.