ViperSoftX мутировал: хакеры создали неуязвимый криптовор
NewsMakerОн прячется в системе, ждёт 300 секунд и лишь потом начинает охоту.
На теневых форумах начали циркулировать новые образцы вредоносного ПО на базе PowerShell, представляющие собой модернизированную версию известного похитителя данных ViperSoftX. Новая модификация 2025 года демонстрирует серьёзный технический скачок по сравнению с предыдущими вариантами, выпущенными в 2024 году. Повышенная модульность, скрытность и стойкость к удалению делают её особенно опасной как для пользователей криптовалют, так и для корпоративных систем.
Анализ кода подтверждает , что зловред получил множество улучшений, направленных на повышение его живучести и усложнение обнаружения. Его архитектура стала более гибкой и динамичной, а весь жизненный цикл тщательно продуман — от инициализации до взаимодействия с командным сервером.
В новой версии серьёзно переработан процесс запуска. В отличие от варианта 2024 года, где использовалась простая задержка в 10 секунд и статический мьютекс, обновлённая сборка применяет GUID-идентификатор для исключения повторного запуска и увеличивает паузу до 300 секунд. Это не только предотвращает параллельное выполнение нескольких экземпляров, но и снижает вероятность выявления в песочницах и системах поведенческого анализа.
Для сетевой маскировки внедрён переход с устаревшего компонента System.Net.WebClient на более современный HttpClient, что позволяет манипулировать HTTP-заголовками и поддерживать защищённые HTTPS-соединения, имитируя поведение легитимного ПО. Кроме того, передача данных между заражённым хостом и командным сервером теперь шифруется при помощи простого XOR-алгоритма с ключом 65, а не отправляется в открытом виде или base64, как раньше. Такой подход затрудняет анализ сетевого трафика и позволяет обходить стандартные системы обнаружения.
Механизмы закрепления в системе стали заметно надёжнее. В то время как в 2024 году ViperSoftX часто полагался на внешние загрузчики, нынешний вариант включает сразу три резервных метода для переживания перезагрузки. Создаётся задача планировщика под видом системной — «WindowsUpdateTask», также добавляется ключ автозагрузки в реестр HKCU и скрытый BAT-файл в папке автозагрузки пользователя. Сам скрипт копируется в незаметный путь «AppData\Microsoft\Windows\Config\winconfig.ps1» и маскируется в процессе установки.
Функциональность вредоносного кода также значительно расширилась. Помимо банального сбора данных, теперь он нацелен на множество криптовалютных кошельков , включая Exodus, Atomic, Electrum и Ledger. Под удар также попали расширения браузеров для работы с криптовалютами — MetaMask, Binance и Coinbase — а также конфигурационные файлы KeePass.
Дополнительно вредоносный код запрашивает IP-адрес жертвы через серию резервных внешних сервисов, чтобы использовать эти данные для геолокации и привязки к конкретной кампании. В предыдущих версиях подобного механизма не наблюдалось.
Модульная структура стала ещё более изощрённой: функции наподобие Get-ServerID и Test-ServerRestarted позволяют вредоносному ПО отслеживать смену C2-инфраструктуры и автоматически восстанавливать соединение, если сервер переехал или был перезапущен. Это приближает зловред к уровню инструментов, используемых в профессиональных целевых атаках.
Авторы отчёта подчёркивают, что новая сборка ViperSoftX стала не просто эволюцией, а качественным скачком вперёд. Уникальная идентификация жертв, зашифрованная связь и синхронизация с командным сервером делают её крайне сложной мишенью для обнаружения и анализа. Расширенный список целей и высокий уровень стойкости поднимают планку для всех подобных инструментов в экосистеме вредоносного ПО .
Для защиты от подобных угроз специалисты рекомендуют использовать комплексные решения, способные выявлять вредоносную активность на разных этапах заражения.
На теневых форумах начали циркулировать новые образцы вредоносного ПО на базе PowerShell, представляющие собой модернизированную версию известного похитителя данных ViperSoftX. Новая модификация 2025 года демонстрирует серьёзный технический скачок по сравнению с предыдущими вариантами, выпущенными в 2024 году. Повышенная модульность, скрытность и стойкость к удалению делают её особенно опасной как для пользователей криптовалют, так и для корпоративных систем.
Анализ кода подтверждает , что зловред получил множество улучшений, направленных на повышение его живучести и усложнение обнаружения. Его архитектура стала более гибкой и динамичной, а весь жизненный цикл тщательно продуман — от инициализации до взаимодействия с командным сервером.
В новой версии серьёзно переработан процесс запуска. В отличие от варианта 2024 года, где использовалась простая задержка в 10 секунд и статический мьютекс, обновлённая сборка применяет GUID-идентификатор для исключения повторного запуска и увеличивает паузу до 300 секунд. Это не только предотвращает параллельное выполнение нескольких экземпляров, но и снижает вероятность выявления в песочницах и системах поведенческого анализа.
Для сетевой маскировки внедрён переход с устаревшего компонента System.Net.WebClient на более современный HttpClient, что позволяет манипулировать HTTP-заголовками и поддерживать защищённые HTTPS-соединения, имитируя поведение легитимного ПО. Кроме того, передача данных между заражённым хостом и командным сервером теперь шифруется при помощи простого XOR-алгоритма с ключом 65, а не отправляется в открытом виде или base64, как раньше. Такой подход затрудняет анализ сетевого трафика и позволяет обходить стандартные системы обнаружения.
Механизмы закрепления в системе стали заметно надёжнее. В то время как в 2024 году ViperSoftX часто полагался на внешние загрузчики, нынешний вариант включает сразу три резервных метода для переживания перезагрузки. Создаётся задача планировщика под видом системной — «WindowsUpdateTask», также добавляется ключ автозагрузки в реестр HKCU и скрытый BAT-файл в папке автозагрузки пользователя. Сам скрипт копируется в незаметный путь «AppData\Microsoft\Windows\Config\winconfig.ps1» и маскируется в процессе установки.
Функциональность вредоносного кода также значительно расширилась. Помимо банального сбора данных, теперь он нацелен на множество криптовалютных кошельков , включая Exodus, Atomic, Electrum и Ledger. Под удар также попали расширения браузеров для работы с криптовалютами — MetaMask, Binance и Coinbase — а также конфигурационные файлы KeePass.
Дополнительно вредоносный код запрашивает IP-адрес жертвы через серию резервных внешних сервисов, чтобы использовать эти данные для геолокации и привязки к конкретной кампании. В предыдущих версиях подобного механизма не наблюдалось.
Модульная структура стала ещё более изощрённой: функции наподобие Get-ServerID и Test-ServerRestarted позволяют вредоносному ПО отслеживать смену C2-инфраструктуры и автоматически восстанавливать соединение, если сервер переехал или был перезапущен. Это приближает зловред к уровню инструментов, используемых в профессиональных целевых атаках.
Авторы отчёта подчёркивают, что новая сборка ViperSoftX стала не просто эволюцией, а качественным скачком вперёд. Уникальная идентификация жертв, зашифрованная связь и синхронизация с командным сервером делают её крайне сложной мишенью для обнаружения и анализа. Расширенный список целей и высокий уровень стойкости поднимают планку для всех подобных инструментов в экосистеме вредоносного ПО .
Для защиты от подобных угроз специалисты рекомендуют использовать комплексные решения, способные выявлять вредоносную активность на разных этапах заражения.