В начале 2025 года на популярных подпольных форумах безопасности обнаружен новый вариант вредоносного ПО, который основан на PowerShell и отдаленно напоминает семейство ViperSoftX stealers 2024 года. Однако обновленная версия демонстрирует значительные улучшения в архитектуре, что делает её более сложной и опасной угрозой для конечных пользователей и организаций.
Модульность и архитектура вредоносного ПО
Последняя версия вредоноса выделяется хорошо структурированной логикой выполнения, построенной по модульному принципу. Это позволяет ему осуществлять последовательные этапы работы, среди которых:
- инициализация компонентов;
- настройка механизмов сохранения (persistency);
- взаимодействие с серверами управления и контроля (C2).
В отличие от версии 2024 года, где использовался простой мьютекс для предотвращения запуска нескольких экземпляров, новая версия реализовала более продвинутую трехуровневую стратегию сохранения.
Расширенные механизмы persistency
Используемые в версии 2025 года методы устойчивости включают:
- создание запланированной задачи Windows с именем WindowsUpdateTask, которая обеспечивает автоматический запуск вредоносного ПО при входе пользователя в систему;
- внесение изменений в реестр Windows для сохранения вредоносной активности после перезагрузки;
- мониторинг работы сервера C2 — вредоносное ПО проверяет, перезапущен ли сервер, и при необходимости сбрасывает сеанс или запрашивает новые команды.
Расширенный диапазон целевых приложений
Значительно расширился и спектр целей для сбора данных. Помимо стандартных браузерных расширений, новых функциональных возможностей и приложений для криптовалютных кошельков теперь поддерживаются:
- криптокошельки Exodus, Atomic, Electrum;
- популярные браузерные расширения с функциями управления криптовалютами, такие как MetaMask, Binance, Coinbase.
Кроме того, вредоносное ПО собирает разнообразные конфиденциальные данные, включая сведения об операционной системе, имена пользователей, IP-адреса и установленные приложения, что расширяет возможности по краже и удалению информации.
Коммуникация с C2 и методы скрытности
Важной особенностью новой версии является усовершенствованный способ обмена информацией с сервером управления (C2). Для передачи полезной нагрузки используется базовое XOR-шифрование, что позволяет:
- скрывать содержимое передаваемых данных от простого анализа;
- расшифровывать данные сразу после получения на стороне вредоносного ПО.
Каждая расшифрованная полезная нагрузка загружается и исполняется как задание PowerShell. Это существенно повышает эффективность и скрытность атаки, так как задания:
- меньше заметны в системе;
- не блокируют выполнение других процессов;
- обладают возможностью тайм-аута, что снижает вероятность обнаружения и обеспечивает стабильность работы.
Выводы
Обнаруженный вариант PowerShell-вредоносного ПО 2025 года являет собой значительный шаг вперёд в области кражи данных и проникновения в целевые системы. Его модульная архитектура, трёхуровневая система сохранения и расширенный набор целей, включая популярные криптовалютные кошельки и расширения браузеров, делают угрозу особенно актуальной для защиты персональной и корпоративной информации.
Экспертам по кибербезопасности рекомендуется усилить мониторинг запланированных задач Windows, а также внимательно отслеживать подозрительную активность PowerShell и изменения в реестре. А пользователям стоит быть предельно осторожными при работе с браузерными расширениями и криптокошельками, чтобы минимизировать риски компрометации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новый PowerShell-малварь 2025: эволюция угрозы ViperSoftX".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.