VenomLockX

VenomLockX este o extensie de browser amenințătoare, concepută cu scopul explicit de a colecta criptomonede. Extensia dăunătoare are, de asemenea, o funcționalitate de tăiere, ca o modalitate de a monitoriza conținutul salvat de utilizatori în clipboard-ul sistemelor lor Windows și apoi de a înlocui orice adrese cripto-portofel cu unele aflate sub controlul actorilor amenințărilor. Amenințarea este implementată pe dispozitivele victimelor de o altă amenințare dăunătoare urmărită ca ViperSoftX , un RAT și un cripto hijacker scris în JavaScript.

Lanțul de infecție

ViperSoftX este o amenințare care a fost identificată pentru prima dată în 2020, rapoartele despre aceasta fiind publicate de cercetători, precum și de experți în infosec. Principalii vectori de infecție ViperSoftX sunt crăpături ale jocului cu arme sau activatori pentru instrumente software plătite disponibile pentru descărcare pe platformele torrent. Totuși, campania de amenințare a suferit mai multe schimbări importante, așa cum detaliază un nou raport publicat de alți cercetători.

Conform constatărilor lor, atacurile ViperSoftX s-au intensificat în 2022, iar până pe 8 noiembrie, infractorii cibernetici au reușit să strângă aproximativ 130.000 de dolari de la victimele lor. Principalele ținte ale atacurilor au fost utilizatorii aflați în SUA, Italia, India și Brazilia. Versiunile mai noi ViperSoftX au început să renunțe la extensia de browser VenomSoftX, necunoscută anterior.

Detalii VenomSoftX

Amenințarea dăunătoare poate afecta browserele bazate pe Chrome, inclusiv Chrome, Edge, Opera, Brave etc. Amenințarea se prezintă drept „Google Sheets 2.1” sau „Manager de actualizări”, care ar putea părea aplicații legitime și utile numai pe baza numelor lor. În realitate, VenomSoftX ar putea oferi actorilor amenințărilor șanse mai mari de a colecta criptomonede decât malware-ul ViperSoftX.

Odată activată pe dispozitiv, extensia de browser va aștepta apelarea unui anumit API și va modifica cererea, rezultând că fondurile asociate vor fi redirecționate către atacatori. Mai multe dintre cele mai importante servicii cripto pot fi afectate - Blockchain.com, Coinbase, Kucoin și Gate.io. Fondurile din tranzacțiile interceptate vor fi setate la maximul disponibil, iar criptomonedele vor fi extrase din conturile victimelor. Clipboard-ul va fi, de asemenea, monitorizat pentru adrese suplimentare de portofel.

VenomSoftX este, de asemenea, capabil să colecteze parolele introduse pe site-ul Blockchain.info. Informațiile introduse pe alte site-uri web vor fi verificate pentru a vedea dacă corespund anumitor criterii și vor fi, de asemenea, transmise actorilor amenințărilor.

Un semn al prezenței VenomSoftX pe sistem este verificarea locației acestuia. Foi de calcul Google legitime este de obicei instalată în Chrome ca o aplicație sub chrome://apps/ și nu este clasificată ca extensie. Aceasta înseamnă că, dacă găsiți o intrare Google Sheets listată pe pagina de extensie a browserului, cel mai bine ar fi să o eliminați cât mai curând posibil.