มัลแวร์ขโมยข้อมูล ViperSoftX กำหนดเป้าหมายไปที่แอปพลิเคชัน Password Manager

มัลแวร์ขโมยข้อมูล ViperSoftX เวอร์ชันใหม่ถูกค้นพบว่ามีเป้าหมายที่หลากหลายมากขึ้น รวมถึงการกำหนดเป้าหมายไปยังแอปพลิเคชัน password manager อย่าง KeePass และ 1Password

รายงานดังกล่าวมาจากนักวิจัยที่ Trend Micro ซึ่งระบุว่า ViperSoftX มุ่งเป้าไปที่กระเป๋าเงินคริปโตเคอเรนซีมากขึ้น โดยสามารถขโมยข้อมูลจากเบราว์เซอร์ต่าง ๆ นอกเหนือจาก Chrome ได้มากขึ้น และยังเริ่มกำหนดเป้าหมายไปยังแอปพลิเคชัน Password Manager

มัลแวร์ขโมยข้อมูลเวอร์ชันใหม่ล่าสุดมีการเข้ารหัสรหัสที่รัดกุมยิ่งขึ้น และมีคุณสมบัติในการหลีกเลี่ยงการตรวจจับโดยซอฟต์แวร์รักษาความปลอดภัย

การกำหนดเป้าหมายทั่วโลก

ViperSoftX เป็นมัลแวร์ขโมยข้อมูลที่สามารถขโมยข้อมูลต่าง ๆ จากคอมพิวเตอร์ที่ถูกโจมตี โดยมัลแวร์นี้ยังเป็นที่รู้จักในการติดตั้ง extension ที่เป็นอันตรายชื่อ VenomSoftX บนเบราว์เซอร์ Chrome ซึ่งในเวอร์ชันล่าสุดที่วิเคราะห์โดย Trend Micro พบว่ามัลแวร์ยังมีเป้าหมายไปยังเบราว์เซอร์ Brave, Edge, Opera และ Firefox

มัลแวร์ ViperSoftX ถูกพบครั้งแรกในปี 2020 ในรูปแบบ JavaScript-based RAT (remote access trojan) และ cryptocurrency hijacker โดยในเดือนพฤศจิกายน 2022 Avast รายงานว่า ViperSoftX กำลังพัฒนาเวอร์ชันใหม่ที่มีประสิทธิภาพมากขึ้น

โดย Avast ตรวจพบ และหยุดการโจมตีได้กว่า 93,000 ครั้ง ระหว่างเดือนมกราคมถึงพฤศจิกายน 2565 โดยเหยื่อส่วนใหญ่อยู่ในสหรัฐอเมริกา อิตาลี บราซิล และอินเดีย

ในสัปดาห์นี้ Trend Micro รายงานว่า ViperSoftX กำหนดเป้าหมายทั้งกลุ่มผู้บริโภค และองค์กร โดยออสเตรเลีย ญี่ปุ่น สหรัฐอเมริกา อินเดีย ไต้หวัน มาเลเซีย ฝรั่งเศส และอิตาลี คิดเป็นสัดส่วนกว่า 50% ของเหตุการณ์ที่ตรวจพบ

จากการสังเกตของนักวิเคราะห์ มัลแวร์มักจะเข้ามาในรูปแบบของซอฟต์แวร์ cracks, activators หรือ key generators ที่มาพร้อมกับซอฟต์แวร์ที่ไม่เป็นอันตราย

ในเวอร์ชันที่รายงานโดย Avast นั้น VenomSoftX มีเป้าหมายไปที่ Blockchain, Binance, Kraken, eToro, Coinbase, Gate.io และ Kucoin crypto wallets

ส่วนในเวอร์ชันล่าสุดที่ Trend Micro ตรวจพบการขโมยข้อมูลจากกระเป๋าเงินเพิ่มเติมต่อไปนี้:

  • Armory
  • Atomic Wallet
  • Binance
  • Bitcoin
  • Blockstream Green
  • Coinomi
  • Delta
  • Electrum
  • Exodus
  • Guarda
  • Jaxx Liberty
  • Ledger Live
  • Trezor Bridge
  • Coin98
  • Coinbase
  • MetaMask
  • Enkrypt

ที่น่าสนใจเป็นพิเศษ Trend Micro ยังรายงานว่า ViperSoftX กำลังตรวจสอบไฟล์ที่เกี่ยวข้องกับ Password Manager สองตัว ได้แก่ 1Password และ KeePass 2 ซึ่งพยายามขโมยข้อมูลที่จัดเก็บไว้ใน extension ของเบราว์เซอร์

นักวิเคราะห์กำลังตรวจสอบว่ามัลแวร์ดังกล่าวมีการพยายามใช้ประโยชน์จากช่องโหว่ CVE-2023-24055 หรือไม่ ซึ่งช่องโหว่ดังกล่าวอาจช่วยให้ผู้โจมตีสามารถดึงรหัสผ่านที่ถูกเก็บไว้ในรูปแบบ plaintext ได้ แต่ยังไม่พบหลักฐานของการใช้ช่องโหว่นี้

อย่างไรก็ตาม Trend Micro เปิดเผยกับ BleepingComputer ว่า "เป็นไปได้ที่หากมัลแวร์มีการตรวจพบการใช้งาน password managers ผู้โจมตีอาจมุ่งเป้าเพื่อโจมตีด้วยมัลแวร์อื่น ๆ ได้ในภายหลัง"

เนื่องจากปัจจุบันยังไม่มีรายละเอียดที่ชัดเจนที่สามารถรวบรวมจากโค้ดของมัลแวร์ได้ ยกเว้นข้อมูลที่รวบรวมได้จาก configuration files ของมัลแวร์ ดังนั้นคาดว่าน่าจะเป็นการโจมตีเพิ่มเติมในภายหลัง แต่เห็นได้ชัดว่าหากสามารถรวบรวมข้อมูลเหล่านี้ได้ (wallets and password configuration) มัลแวร์จะทำการส่งข้อมูลกลับไปยัง C2

เวอร์ชันใหม่ของ ViperSoftX ใช้ฟีเจอร์ป้องกันการตรวจจับ, การวิเคราะห์ และการบูตแบบแอบแฝงหลายอย่าง เริ่มตั้งแต่ใช้ DLL sideloading เพื่อดำเนินการบนระบบเป้าหมายในบริบทของ process ที่เชื่อถือได้ ทำให้ไม่มีการแจ้งเตือนใดๆ

นอกจากนี้มัลแวร์ยังตรวจหาการทำงานบน virtualization และเครื่องมือตรวจสอบ เช่น VMWare หรือ Process Monitor และผลิตภัณฑ์ป้องกันไวรัส เช่น Windows Defender และ ESET ก่อนที่จะดำเนินการตามขั้นตอนการติดตั้งมัลแวร์

ที่มา : bleepingcomputer