Auf der Speisekarte der ViperSoftX-Malware stehen neben 17 verschiedenen Krypto-Wallets mittlerweile auch Daten aus KeePass und 1Password.
Die neuste Version der Malware ViperSoftX stiehlt nicht nur Krypto-Assets aus 17 verschiedenen Wallets, sondern inzwischen auch Zugangsdaten aus KeePass und 1Password. Sie tarnt sich häufig als Crack oder Keygen und weiß genau, was sie tun muss, um unter dem Radar zu bleiben.
Ein Remote Access Trojaner stiehlt inzwischen mehr als nur Kryptowährungen
Die Malware ViperSoftX tauchte erstmals im Jahr 2020 als JavaScript-basierter Remote Access Trojaner (RAT) und Krypto-Dieb auf. Später brachten die Entwickler der Software jedoch noch weitaus gefährlichere Versionen in Umlauf. Inzwischen stiehlt das Tool auch Daten aus den beliebten Passwortmanagern KeePass und 1Password.
Darüber hinaus haben die Macher der Schadsoftware das Portfolio an unterstützten Krypto-Wallets stetig ausgebaut. BleepingComputer listet in einem neuen Bericht insgesamt 17 Wallet-Anbieter auf, die die ViperSoftX-Malware angreifen kann. Darunter auch sehr prominente Vertreter wie MetaMask, Electrum, Exodus, Binance, Coinbase und Atomic Wallet.
ViperSoftX kommt oft als Crack, Keygen oder vermeintlich harmlose Software
Die Malware ist bekannt dafür, dass sie eine Browsererweiterung namens “VenomSoftX” installiert. Diese ist mit vielen gängigen Webbrowsern wie Chrome, Brave, Edge, Opera und auch Firefox kompatibel.
Wie Sicherheitsforscher von Trend Micro berichten, tarnen Cyberkriminelle ViperSoftX mitunter als Software-Crack oder Keygen und verstecken sie in harmlos erscheinenden Produkten. Damit versuchen sie weltweit Systeme sowohl von Endverbrauchern als auch von Unternehmen zu infiltrieren.
Ist die Malware auf einem Zielsystem installiert, so beginnt sie damit, Informationen aus Krypto-Wallets und den Passwortmanagern KeePass 2 und 1Password zu stehlen. Anschließend übermittelt sie die erbeuteten Daten an einen vom Angreifer kontrollierten Server.
Dass die ViperSoftX-Malware die KeePass-Schwachstelle CVE-2023-24055 ausnutzt, konnten die Forscher nicht bestätigen. Jedoch sei nicht auszuschließen, dass ein böswilliger Akteur Funktionen nachlädt, die auf diese Sicherheitslücke abzielen.
Eine Malware, die sich zu verstecken weiß
Unter dem Radar zu bleiben, fällt ViperSoftX auch nicht schwer, denn die Entwickler haben mitunter ein DLL-Sideloading implementiert, durch das die Malware den Kontext eines vertrauenswürdigen Prozesses annehmen kann. Für diverse Sicherheitstools liefert sie somit keinen Grund, einen Alarm auszulösen.
Darüber hinaus analysiert die Schadsoftware ihre Umgebung, bevor sie ihre Arbeit aufnimmt. Letzteres tut sie nur, wenn sie sich in keiner VM befindet und bestimmte Monitoring- oder Antiviren-Tools nicht vorfindet.
Den eigenen Code verschleiert ViperSoftX via “Byte Mapping”, was die Entschlüsselung und Analyse der Malware deutlich erschwert. Und auch ihren bösartigen Datenverkehr weiß die Software durch einen neuen Kommunikationsblocker zu schützen.
Apropos schützen: Auch Du kannst Dich und Deine Krypto-Assets schützen. Beispielsweise indem Du hier bei der Tarnkappe die richtigen Artikel liest und Deine Coins in einer sicheren Hardware-Wallet wie jenen von Ledger* aufbewahrst.
(*) Alle mit einem Stern markierten Links sind Affiliate-Links. Wenn Du über diese Links Produkte kaufst, erhält Tarnkappe.info eine kleine Provision. Für Dich entstehen dadurch keine zusätzlichen Kosten, denn die Produktpreise bleiben identisch. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.
(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.