在网络安全的暗角中,恶意软件层出不穷,时刻威胁着用户的设备安全和数据隐私。ViperSoftX 便是其中一款极具威胁性的恶意软件,它以狡猾的传播方式和多样的攻击手段,给用户带来了极大的困扰。

ViperSoftX 最初被发现时,常常伪装成破解软件,悄然出现在各类种子平台上。这些种子平台,往往吸引着那些寻求免费软件资源的用户,而用户在不经意间下载了伪装的破解软件后,便会在毫无察觉的情况下将 ViperSoftX 引入自己的设备。它通常还会通过种子文件的传播,进一步扩大其感染范围,常常伪装成合法程序,利用用户对软件的信任,达到恶意入侵的目的。

ViperSoftX 有一个显著的特点,即使用 PowerShell 脚本进行初始执行和命令与控制 (C&C) 通信。PowerShell 作为 Windows 系统自带的强大脚本工具,原本是为了方便系统管理和自动化任务,但却被恶意软件开发者利用,成为了 ViperSoftX 实施恶意行为的手段。该恶意软件在与 C&C 服务器通信时,使用的 URI 路径始终包含 “/api/v1” 或 “/api/v3/” 等特定模式。通过这种隐蔽的通信方式,它能够在用户毫无察觉的情况下,静默下载进一步的有效负载,为后续的恶意活动做好准备。

ViperSoftX 下载的其他恶意软件包括:

  1. VBS 下载器

  • 这个组件会从攻击者的 C&C 服务器下载并执行 PowerShell 和 VBS 文件。它还会在用户的设备上创建特定文件夹 “C:\ProgramData\System Loader”,并在条件满足时(即存在名为 “run.vbs” 的 VBS 文件时)执行该文件。这种行为不仅占用系统资源,还可能会在后台进行一系列恶意操作,严重影响系统的正常运行。

  • PowerShell 下载程序

    该脚本的威胁性不容小觑。它会下载并执行 PureCrypter 和 Quasar RAT 等恶意软件。为了逃避检测,它还会尝试向 Windows Defender 添加排除路径。同时,它还旨在获取管理员权限,这意味着后续下载的恶意软件都能以提升的权限运行,进一步扩大了恶意软件的破坏范围。

  • PureCrypter

    这是一款商业 .NET 打包恶意软件,自 2021 年起就已经在网络中出现。在 ViperSoftX 的攻击活动中,它被用作下载器。它使用 protobuf 库进行网络通信,这种通信方式使得攻击者能够序列化命令和状态信息,增加了安全人员分析和防御的难度。

  • Quasar RAT

    作为一款开源远程访问工具 (RAT),Quasar RAT 为攻击者提供了强大的功能,包括键盘记录、远程命令执行以及文件上传 / 下载等。攻击者利用这款工具,能够远程控制受感染的系统,窃取用户的敏感信息,甚至对系统进行恶意破坏。