10 de julio de 2024Sala de prensaSeguridad de endpoints / Inteligencia de amenazas Se ha observado que el sofisticado malware conocido como ViperSoftX se distribuye como libros electrónicos a través de torrents. «Un aspecto notable de la variante actual de ViperSoftX es que utiliza Common Language Runtime (CLR) para cargar y ejecutar dinámicamente comandos de PowerShell, creando así un entorno de PowerShell dentro de AutoIt para las operaciones», dijeron los investigadores de seguridad de Trellix Mathanraj Thangaraju y Sijo Jacob. «Al utilizar CLR, ViperSoftX puede integrar sin problemas la funcionalidad de PowerShell, lo que le permite ejecutar funciones maliciosas mientras evade los mecanismos de detección que de otro modo podrían marcar la actividad independiente de PowerShell». ViperSoftX, detectado inicialmente por Fortinet en 2020, es conocido por su capacidad para exfiltrar información confidencial de los hosts de Windows comprometidos. A lo largo de los años, el malware se ha convertido en un ejemplo relevante de actores de amenazas que innovan continuamente sus tácticas en un intento de mantenerse sigilosos y eludir las defensas. Un ejemplo de ello es la mayor complejidad y la adopción de técnicas avanzadas de antianálisis, como la reasignación de bytes y el bloqueo de la comunicación a través del navegador web, como documentó Trend Micro en abril de 2023. En mayo de 2024, las campañas maliciosas han aprovechado ViperSoftX como vehículo de distribución para distribuir Quasar RAT y otro ladrón de información llamado TesseractStealer. Se sabe que las cadenas de ataque que propagan el malware emplean software pirateado y sitios de torrents, pero el uso de señuelos de libros electrónicos es un enfoque observado recientemente. Dentro del supuesto archivo RAR del libro electrónico hay una carpeta oculta, así como un archivo de acceso directo de Windows engañoso que pretende ser un documento benigno. La ejecución del archivo de acceso directo inicia una secuencia de infección de varias etapas que comienza con la extracción del código de PowerShell que muestra la carpeta oculta y configura la persistencia en el sistema para iniciar un script de AutoIt que, a su vez, interactúa con el marco .NET CLR, para descifrar y ejecutar un script de PowerShell secundario, que es ViperSoftX. «AutoIt no es compatible de forma predeterminada con Common Language Runtime (CLR) de .NET», afirmaron los investigadores. «Sin embargo, las funciones definidas por el usuario (UDF) del lenguaje ofrecen una puerta de entrada a la biblioteca CLR, lo que otorga a los actores maliciosos acceso a las formidables capacidades de PowerShell». ViperSoftX recopila información del sistema, escanea en busca de billeteras de criptomonedas a través de extensiones del navegador, captura el contenido del portapapeles y descarga y ejecuta dinámicamente cargas útiles y comandos adicionales en función de las respuestas recibidas de un servidor remoto. También viene con mecanismos de autoeliminación para desafiar la detección. «Una de las características distintivas de ViperSoftX es su uso experto de Common Language Runtime (CLR) para orquestar las operaciones de PowerShell dentro del entorno de AutoIt», dijeron los investigadores. «Esta integración permite la ejecución perfecta de funciones maliciosas al tiempo que evade los mecanismos de detección que normalmente marcarían la actividad independiente de PowerShell». «Además, la capacidad de ViperSoftX de aplicar parches a la interfaz de escaneo antimalware (AMSI) antes de ejecutar scripts de PowerShell subraya su determinación de eludir las medidas de seguridad tradicionales». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.