Bereits tauchte die gefährliche ViperSoftX in Programmen und geknackter Software auf. Der Fund in raubkopierten Büchern ist neu. Besonders betroffen ist ein erbeutetes E-Book, welches über Torrents kursiert. Sensible Informationen von Windows-Rechnern werden gestohlen - das alles im Verborgenen.
---
## Verbreitung über Torrents
Torrents als Quelle der Bedrohung
Einmal weiterhin sind durch Torrent verbreitete Inhalte nicht ohne Risiko. ViperSoftX findet Sicherheitslücken und nutzt sie geschickt aus. Es ist inzwischen klar - die Malware steckt jetzt ebenfalls in sapftaher E-Books.
---
## Technische Funktionsweise der Malware
Nutzung der Common Language Runtime (CLR)
Cybersicherheitsforscher von Trellix entdeckten ein prägnantes Detail: Die Benutzung der CLR - das erlaubt die dynamische Ausführung von PowerShell-Befehlen. Auf diese Weise werden Sicherheitsmechanismen ausgehebelt. Mathanraj Thangaraju und Sijo Jacob von Trellix erläutern dazu:
> „Ein bemerkenswerter Aspekt der aktuellen Variante von ViperSoftX ist, dass es die Common Language Runtime (CLR) verwendet...“
Versteckte Dateien und Befehle
Neben den Dokumenten verstecken sich in der heruntergeladenen RAR-Datei schädliche Inhaltsdateien. PowerShell-Skripte und AutoIT-Skripte führen versteckte Operationen aus - alles unter Tarnung von JPG-Dateien und Verknüpfungen.
---
## AutoIT-Skripte als Werkzeug
Verwendung benutzerdefinierter Funktionen (UDF)
Obwohl die Freeware AutoIT das .NET CLR-Framework nicht direkt unterstützt - ihre benutzerdefinierten Funktionen schaffen dennoch einen Zugang. Schlagkräftig ermöglicht es Angreifern, PowerShell-Befehle unbemerkt zu starten und zuzuschlagen.
AMSI-Patches zur neutralisierung
Durch ausgeklügelte Patch-Techniken werden AMSI-Scans umgangen. Dadurch bleibt das schädliche Treiben unentdeckt - denn das Anti-Malware-Interface wird vorsätzlich verschlüsselt.
---
Fortschritte und Evolution der Schadsoftware
Schon gesehen wurde ViperSoftX erstmals in 2020. Seither überrascht die Malware die Fachwelt immer wieder ihre Evolution verfolgen die Forscher mit wachsender Sorge. Mit geringeren Änderungen erreicht sie Bedrohungen - was strategisch bedrohlich ist, laut Quellen erwartet man neuen Variantenm.
---
## Folgen und Schutzmaßnahmen
Angriffe auf Kryptowährungen
Das BSI warnt - nebst Passwortdiebstahl zielt die Malware auch auf Kryptowährungen ab. Eigennützig werden Transaktionen manipuliert - indem Adressen in der Zwischenablage ausgetauscht werden.
Entfernung der Malware
Betroffene sollten dringend handeln - das BSI rät zu Antivirus-Scans. Wichtig ist – auch die gleichzeitig installierte Browsererweiterung muss entfernt werden. Ansonsten bleibt das System potenziell weiter gefährdet.
---
Quellen: Trellix; Bundesamt für Sicherheit in der Informationstechnik (BSI)
Kommentare