Varian terbaru malware pencuri informasi ViperSoftX menggunakan common language runtime (CLR) untuk memuat dan mengeksekusi perintah PowerShell dalam skrip AutoIt untuk menghindari deteksi.
CLR adalah komponen utama .NET Framework milik Microsoft, yang berfungsi sebagai mesin eksekusi dan lingkungan runtime untuk aplikasi .NET.
ViperSoftX menggunakan CLR untuk memuat kode dalam AutoIt, bahasa skrip untuk mengotomatisasi tugas Windows yang biasanya dipercaya oleh solusi keamanan.
Selain itu, para peneliti menemukan bahwa pengembang malware memasukkan skrip ofensif yang dimodifikasi dalam versi terbaru untuk meningkatkan kecanggihan.
Rantai infeksi
ViperSoftX telah ada setidaknya sejak tahun 2020 dan saat ini didistribusikan di situs torrent sebagai ebook yang mengirimkan arsip RAR berbahaya dengan file PDF atau ebook yang menipu, file pintasan (.LNK), dan skrip PowerShell dan AutoIT yang disamarkan sebagai file gambar JPG.
Sumber: Trellix
Peneliti malware di perusahaan keamanan siber Trellix mengatakan bahwa infeksi dimulai saat korban menjalankan file .LNK. Selama proses tersebut, file tersebut memuat skrip PowerShell yang menyembunyikan perintah yang secara otomatis dijalankan di Command Prompt di dalam ruang kosong.
Skrip PS memindahkan dua file ke direktori %APPDATA%MicrosoftWindows (zz1Sampul2.jpg Dan zz1Cover3.jpg). Salah satunya adalah executable untuk AutoIt dan berganti nama AutoIt3.exe.
Untuk mempertahankan persistensi, skrip yang sama mengonfigurasi Penjadwal Tugas untuk menjalankan AutoIt3.exe setiap lima menit setelah pengguna masuk.
Sumber: Trellix
Operasi siluman
Dengan menggunakan CLR untuk memuat dan mengeksekusi perintah PowerShell dalam lingkungan AutoIt, ViperSoftX berupaya untuk menyatu dengan aktivitas yang sah pada sistem dan menghindari deteksi.
Hal ini dimungkinkan karena meskipun AutoIT tidak mendukung .NET CLR secara asli, pengguna dapat menentukan fungsi yang memungkinkan pemanggilan perintah PowerShell secara tidak langsung.
ViperSoftX menggunakan pengaburan Base64 yang kuat dan enkripsi AES untuk menyembunyikan perintah dalam skrip PowerShell yang diambil dari file umpan gambar.
Malware tersebut juga menyertakan fungsi untuk mengubah memori fungsi Antimalware Scan Interface (AMSI) (‘AmsiScanBuffer’) untuk melewati pemeriksaan keamanan pada skrip.
Sumber: Trellix
Untuk komunikasi jaringan, ViperSoftX menggunakan nama host yang menipu seperti ‘security-microsoft.com. Agar tidak terdeteksi, informasi sistem dikodekan dalam format Base64 dan data dikirimkan melalui permintaan POST dengan panjang konten “0.” Dengan demikian, pelaku ancaman kembali mencoba menghindari perhatian karena kurangnya konten utama.
Tujuan ViperSoftX adalah mencuri data berikut dari sistem yang disusupi:
- Detail sistem dan perangkat keras
- Data dompet mata uang kripto dari ekstensi browser seperti MetaMask, Ronin Wallet, dan banyak lagi
- Isi papan klip
Sumber: Trellix
Trellix mengatakan bahwa ViperSoftX telah menyempurnakan taktik penghindarannya dan telah menjadi ancaman yang lebih besar. Dengan mengintegrasikan CLR untuk menjalankan PowerShell di dalam AutoIt, malware tersebut berhasil menjalankan fungsi berbahaya sambil menghindari mekanisme keamanan yang biasanya menangkap aktivitas PowerShell yang berdiri sendiri.
Para peneliti menggambarkan malware tersebut sebagai ancaman modern yang canggih dan tangkas yang dapat digagalkan dengan “strategi pertahanan komprehensif yang mencakup kemampuan deteksi, pencegahan, dan respons.”
