VenomLockX
VenomLockX — це загрозливе розширення для браузера, розроблене з явною метою збору криптовалюти. Шкідливе розширення також має функцію кліпера, як спосіб відстежувати вміст, збережений користувачами в буфері обміну їхніх систем Windows, а потім замінювати будь-які адреси криптогаманців на адреси, які знаходяться під контролем зловмисників. Загроза розгортається на пристроях жертв іншою небезпечною загрозою, яку відстежують як ViperSoftX , програму RAT і викрадач криптовалют, написану на JavaScript.
Ланцюг зараження
ViperSoftX — це загроза, яку вперше виявили ще в 2020 році, звіти про неї опублікували дослідники, а також експерти з інформаційної безпеки. Основними векторами зараження ViperSoftX є збройові злами ігор або активатори для платних програмних засобів, доступних для завантаження на торрент-платформах. Однак загрозлива кампанія зазнала кількох важливих змін, про що йдеться в новому звіті, опублікованому іншими дослідниками.
Згідно з їхніми висновками, атаки ViperSoftX активізувалися у 2022 році, і до 8 листопада кіберзлочинцям вдалося стягнути зі своїх жертв близько $130 тис. Основними цілями атак були користувачі зі США, Італії, Індії та Бразилії. У новіших версіях ViperSoftX також почали видаляти раніше невідоме розширення браузера VenomSoftX.
Подробиці VenomSoftX
Шкідлива загроза може вплинути на веб-переглядачі на базі Chrome, зокрема Chrome, Edge, Opera, Brave тощо. Загроза представляє собою «Google Таблиці 2.1» або «Диспетчер оновлень», які можуть здаватися легітимними та корисними програмами, виходячи лише з їх назв. Насправді VenomSoftX може надати суб’єктам загрози кращі шанси отримати криптовалюту, ніж зловмисне програмне забезпечення ViperSoftX.
Після активації на пристрої розширення браузера чекатиме виклику певного API та втручається в запит, у результаті чого відповідні кошти перенаправлятимуться зловмисникам. Це може вплинути на кілька найвідоміших криптосервісів – Blockchain.com, Coinbase, Kucoin і Gate.io. Кошти в перехоплених транзакціях будуть встановлені до доступного максимуму, а криптовалюта буде виведена з рахунків жертв. Буфер обміну також перевірятиметься на наявність додаткових адрес гаманців.
VenomSoftX також здатний збирати паролі, введені на веб-сайті Blockchain.info. Інформація, введена на інших веб-сайтах, перевірятиметься на відповідність певним критеріям, а також буде передана суб’єктам загрози.
Однією з ознак присутності VenomSoftX у системі є перевірка його місцезнаходження. Законні Google Таблиці зазвичай встановлюються в Chrome як програма в chrome://apps/ і не класифікуються як розширення. Це означає, що якщо ви знайдете запис Google Таблиць на сторінці розширення веб-переглядача, можливо, краще видалити його якнайшвидше.
