2024-05-17 20:01:02
Южнокорейская
AhnLab в своем отчете расчехлила новые
версии RAT
ViperSoftX c механизмом OCR с открытым исходным кодом
Tesseract извлечения текста из изображений на зараженном хосте, используя методы глубокого обучения.
Злоумышленники традиционно задействуют
ViperSoftX, впервые обнаруженный
Fortinet в 2020 году и циркулирующий уже несколько лет, для внедрения различных штаммов вредоносного ПО, яркими примерами которого являются
Quasar RAT и TesseractStealer.
В 2022 году
Avast сообщала об активности
ViperSoftX, когда вместо
JavaScript применялся сценарии
PowerShell, расширяя возможности с добавлением таких функций, как изменение буфера обмена, установку дополнительных полезных нагрузок и кражу адресов криптокошельков.
Кроме того, вредоносное ПО использовало
VenomSoftX для установки вредоносных расширений в веб-браузеры на базе
Chrome с целью кражи информации.
В отчете
TrendMicro за 2023 год рассматривались новые методы распространения
ViperSoftX и акцентировано внимание на реализацию проверок на наличие установленных менеджеров паролей по сравнению с предыдущими версиями.
Недавно замеченный
ViperSoftX аналогичен тому, который был раскрыт
Fortinet, однако имеет различия: шифрование User-Agent с помощью алгоритма Base64 и использование ключевого слова Welcome_2025 вместо viperSoftx.
Что касается дополнительных вредоносных ПО, исследователи отмечают, что с марта 2024 года на большом количестве систем стабильно наблюдаются многочисленные случаи установки
Quasar RAT с нацеливанием на широкий круг жертв одновременно.
Причем большинство замеченных в атаках
Quasar RAT не имеют существенных отличительных особенностей, но в последнее время выявлены случаи использования
Tor для взаимодействия с Onion-доменом С2.
Помимо
Quasar RAT в наблюдавшейся атаке было замечено вредоносное ПО
TesseractStealer, которое считывает изображения в зараженных системах и с помощью
Tesseract извлекает текст, который выглядит как адреса криптовалют, начальные фразы или пароли, отправляя из на С2.
TesseractStealer сначала создает файлы библиотек Tesseract (tesseract50.dll) и Leptonica (leptonica-1.82.0.dll), а также файл обучающих данных (eng.traineddata) вместе с файлом шрифта (pdf.ttf).
Затем находит в системе файлы расширениями «.png», «.jpg» и «.jpeg», за исключением тех, которые расположены в каталоге редактора. Затем с использованием установленной библиотеки
Tesseract извлекает строки из каждого изображения.
Проверка выявляет наличие связей с OTP, паролями, необходимыми для восстановления, адресами криптокошельков и другими подобными данными, явно нацеливая на цифровые активы жертв. После чего нужные изображения отправляются на С2.
Полный набор IoC, включая и список поисковых фраз - в
отчете AhnLab.
7.5K views17:01