Южнокорейская AhnLab в своем отчете расчехлила новые версии RA | SecAtor

Южнокорейская AhnLab в своем отчете расчехлила новые версии RAT ViperSoftX c механизмом OCR с открытым исходным кодом Tesseract извлечения текста из изображений на зараженном хосте, используя методы глубокого обучения.

Злоумышленники традиционно задействуют ViperSoftX, впервые обнаруженный Fortinet в 2020 году и циркулирующий уже несколько лет, для внедрения различных штаммов вредоносного ПО, яркими примерами которого являются Quasar RAT и TesseractStealer.

В 2022 году Avast сообщала об активности ViperSoftX, когда вместо JavaScript применялся сценарии PowerShell, расширяя возможности с добавлением таких функций, как изменение буфера обмена, установку дополнительных полезных нагрузок и кражу адресов криптокошельков.

Кроме того, вредоносное ПО использовало VenomSoftX для установки вредоносных расширений в веб-браузеры на базе Chrome с целью кражи информации.

В отчете TrendMicro за 2023 год рассматривались новые методы распространения ViperSoftX и акцентировано внимание на реализацию проверок на наличие установленных менеджеров паролей по сравнению с предыдущими версиями.

Недавно замеченный ViperSoftX аналогичен тому, который был раскрыт Fortinet, однако имеет различия: шифрование User-Agent с помощью алгоритма Base64 и использование ключевого слова Welcome_2025 вместо viperSoftx.

Что касается дополнительных вредоносных ПО, исследователи отмечают, что с марта 2024 года на большом количестве систем стабильно наблюдаются многочисленные случаи установки Quasar RAT с нацеливанием на широкий круг жертв одновременно.

Причем большинство замеченных в атаках Quasar RAT не имеют существенных отличительных особенностей, но в последнее время выявлены случаи использования Tor для взаимодействия с Onion-доменом С2.

Помимо Quasar RAT в наблюдавшейся атаке было замечено вредоносное ПО TesseractStealer, которое считывает изображения в зараженных системах и с помощью Tesseract извлекает текст, который выглядит как адреса криптовалют, начальные фразы или пароли, отправляя из на С2.

TesseractStealer сначала создает файлы библиотек Tesseract (tesseract50.dll) и Leptonica (leptonica-1.82.0.dll), а также файл обучающих данных (eng.traineddata) вместе с файлом шрифта (pdf.ttf).

Затем находит в системе файлы расширениями «.png», «.jpg» и «.jpeg», за исключением тех, которые расположены в каталоге редактора. Затем с использованием установленной библиотеки Tesseract извлекает строки из каждого изображения.

Проверка выявляет наличие связей с OTP, паролями, необходимыми для восстановления, адресами криптокошельков и другими подобными данными, явно нацеливая на цифровые активы жертв. После чего нужные изображения отправляются на С2.

Полный набор IoC, включая и список поисковых фраз - в отчете AhnLab.