Che i torrent siano un canale prediletto dai cybercriminali per diffondere malware non è di certo una novità. Proponendo software contraffatto o film famosi, i malintenzionati riescono spesso a spingere l’utente verso il download dell’agente malevolo e all’attivazione dello stesso.
Di recente, però, gli esperti di sicurezza informatica di Trellix hanno trovato un nuovo tipo di contenuto coinvolto in questi attacchi, ovvero gli eBook. Questo tipo di contenuto, di solito ricercato da un numero contenuto di utenti, finora non aveva mai attirato l’attenzione dei cybercriminali. Nonostante ciò, i ricercatori hanno notato come il malware noto come ViperSoftX è al centro di una campagna che vede proprio i libri digitali su torrent come principale veicolo.
Le vittime, portate a scaricare un archivio che contiene eBook, si trovano a fare i conti con una cartella e un file di collegamento all’interno del file che risultano del tutto invisibili. Questi, una volta che l’utente interagisce con l’archivio, si attivano installando il malware sul PC.
eBook e Torrent: l’inedita strategia di diffusione del malware ViperSoftX
ViperSoftX rientra nella categoria degli infostealer, lavorando come un trojan di accesso remoto (RAT). Una volta che infetta un sistema, tende a rubare dati sensibili, tra cui figurano password e altre informazioni.
Sebbene la strategia di diffusione tramite eBook sia recente, il malware in questione è già noto da tempo agli esperti di settore, essendo stato rilevato la prima volta nel 2019. Da allora, ViperSoftX non ha mai smesso di evolversi, anche attraverso tecniche di diffusione ingegnose come quelle rilevate in quest’ultima campagna.
Tra le altre cose, l’ultima versione dell’infostealer si distingue dalle precedenti generazioni in quanto utilizza Common Language Runtime (CLR) per l’esecuzione dei comandi PowerShell. Con questa tecnica, il malware può eseguire funzioni pericolose per la vittima eludendo la maggior parte dei meccanismi di rilevamento.
Oltre alle capacità di furto dati, ViperSoftX può anche essere sfruttato come loader di altri malware come Quasar RAT e TesseractStealer.