TEMPE, Ariz. / PRAG 1. Dezember 2022 — Forscher*innen von Avast, einem weltweit führenden Anbieter für digitale Sicherheits- und Privatsphäre-Lösungen und Marke von GenTM, veröffentlichten eine ausführliche Analyse zur Crypto-Stealer-Software ViperSoftX. ViperSoftX ist eine Software zum Informationsdiebstahl, die in erster Linie zum Stehlen von Kryptowährungen eingesetzt wird. Der Informationsdieb installiert häufig eine Browser- Erweiterung, die Avast-Forscher VenomSoftX nennen, um vollen Zugriff auf Chromium- Browser zu erhalten. ViperSoftX wird hauptsächlich über gecrackte Softwareversionen von Adobe Illustrator, Corel Video Studio und Microsoft Office verbreitet, die häufig über Torrents vertrieben werden. Seit Januar 2022 hat Avast weltweit mehr als 93.000 ViperSoftX- Infektionsversuche blockiert. Die drei am meisten von ViperSoftX betroffenen Länder sind Indien, die Vereinigten Staaten und Italien. In Deutschland hat Avast mehr als 1.500 Kunden in Deutschland vor ViperSoftX geschützt.
„Wir schätzen, dass die Cyberkriminellen, die hinter ViperSoftX stecken, bereits mehr als 130.000 US-Dollar in Kryptowährungen verdient haben, indem sie Bitcoins, Ethereum, Dogecoins, Bitcoin Cash, Cosmos (ATOM), Tezos und Dash gestohlen haben", sagt Jan Rubin, Malware-Forscher bei Avast. „Wenn Menschen gecrackte Versionen teurer Software herunterladen, wollen sie Geld sparen. Aber allzu oft verlieren sie am Ende Geld. Wir sehen oft Malware, die als gecrackte Software getarnt ist und empfehlen den Anwender*innen dringend, sich davor zu hüten und die offiziellen, kostenpflichtigen Softwareversionen zu nutzen. In diesem Fall laden die Anwender statt der gewünschten Software eine ausführbare Datei namens 'Activator.exe' oder 'Patch.exe' herunter, bei deren Ausführung die Computer mit der Malware zum Informationsdiebstahl infiziert werden."
ViperSoftX ist in der Lage, wichtige Informationen über das infizierte Gerät zu stehlen, darunter den Computer- und Benutzernamen, Details über das Betriebssystem und seine Architektur sowie darüber, ob auf dem Gerät eine aktive Antiviren-Software läuft. ViperSoftX stiehlt Kryptowährungen, die lokal auf dem infizierten Gerät in Kryptowährungssoftware und Browser-Erweiterungen gespeichert sind, und überwacht die Zwischenablage auf Kryptowährungs-Wallet-Adressen, um diese mit der der Cyberkriminellen auszutauschen.
Zusätzlich protokolliert die Malware Kryptowährungs- und andere Finanzanwendungen. ViperSoftX scannt den Inhalt der Zwischenablage, um Wallet-Adressen zu erkennen. Wenn eine Wallet-Adresse erkannt wird, ersetzt die Malware den Inhalt der Zwischenablage durch die Adresse des Angreifers und sendet das Geld direkt auf das Konto des Cyberkriminellen. Zu den Kryptowährungen, die der Informationsdieb stiehlt, gehören: BTC, BCH, BNB, ETH, XMR, XRP, DOGE und DASH. Darüber hinaus verfügt die Stealer-Software über Remote- Access-Trojaner-Funktionen (RAT) und kann daher beliebige Befehle auf der Kommandozeile ausführen, zusätzliche vom C&C-Server bereitgestellte Nutzdaten herunterladen und sich selbst vom infizierten System entfernen.
Die bösartige Browser-Erweiterung VenomSoftX, die ViperSoftX unbemerkt installiert, verschafft Angreifern vollen Zugang zu den Browsern der Opfer, wie Chrome, Edge, Brave und Opera. Dabei tarnt sich VenomSoftX als bekannte und gern genutzte Browser- Erweiterung, wie zum Beispiel Google Sheets. Die Erweiterung hakt API-Anfragen bei einigen der beliebtesten Krypto-Börsen wie Blockchain.com, Binance, Coinbase, Gate.io und Kucoin ab. Wenn eine API aufgerufen wird, um Kryptowährungen zu senden oder abzuheben, manipuliert die VenomSoftX-Erweiterung die Anfrage, um alle Kryptowährungen im Konto des Opfers auf das Konto des Angreifers umzuleiten. Diese Methode funktioniert auf einer niedrigeren Ebene als der übliche Austausch von Zwischenablagen und ist daher sehr schwer zu erkennen. Die Erweiterung ist auch in der Lage, Passwörter für Kryptowährungen zu stehlen.
Antivirusprogramme, wie in Avast One, schützen Anwender*innen vor ViperSoftX undVenomSoftX.
Die komplette Analyse zu ViperSoftX finden Sie auf dem Avast Decoded Blog.
* Seit dem 8. November 2022