ViperSoftX 变体被发现滥用 .NET 运行时来掩盖数据盗窃
免费软件 Auto它还用于在脚本中隐藏整个 PowerShell 环境威胁检测供应商 Trellix 的安全研究人员表示,一种名为 ViperSoftX 的快速变化的信息窃取恶意软件已经变得更加危险。
来源:The Register _恶意软件据威胁检测供应商 Trellix 的安全研究人员称,一种名为 ViperSoftX 的快速变化的信息窃取恶意软件已变得更加危险。
ViperSoftX 于 2020 年首次被发现,最近再次出现,能够使用 .NET 公共语言运行时 (CLR) 来混淆其对 PowerShell 命令的使用,Trellix 安全审查员 Mathanraj Thangaraju 和 Sijo Jacob 写道。两人表示,这些命令被进一步伪装成隐藏在免费软件程序 AutoIt 生成的脚本中。
发现 最近再次出现结果是一个非常恶意的恶意软件,它设法在隐藏环境中运行 PowerShell 命令。
CLR 也称为 .NET 运行时,允许使用各种兼容语言编写的软件作为托管代码作为 .NET 应用程序运行。
CLR“通过利用 CLR,ViperSoftX 可以无缝集成 PowerShell 功能,使其能够执行恶意功能,同时逃避可能标记独立 PowerShell 活动的检测机制,”Thangaraju 和 Jacob 在谈到该信息窃取程序的最新版本时说道。
微软没有回应本文的问题。
隐藏良好的链条
之前发现,ViperSoftX 的最新 CLR 版本隐藏在破解软件和盗版应用程序中,而现在,它被发现出现在通过种子分发的盗版电子书中。
虽然这对屏蔽已知盗版网站的企业来说似乎不是什么大风险,但 Trellix 在其报告中包含的样本来自 Excel 公式手册的盗版副本,这表明在企业环境中工作的专业人士被视为目标。
无论其制造者打算感染谁,ViperSoftX 的开发都是为了避免引起注意,同时窃取系统信息、加密货币钱包详细信息(及其包含的货币)、剪贴板内容和其他此类数据。
AMSI然而,Trellix 并未将该恶意软件归因于任何特定来源,也没有回应 The Register 的问题。
The Register