VenomLockX

VenomLockX est une extension de navigateur menaçante, conçue dans le but explicite de collecter de la crypto-monnaie. L'extension nuisible a également une fonctionnalité de clipper, comme moyen de surveiller le contenu enregistré par les utilisateurs dans le presse-papiers de leurs systèmes Windows, puis de remplacer toutes les adresses de portefeuille cryptographique par celles sous le contrôle des acteurs de la menace. La menace est déployée sur les appareils des victimes par une autre menace blessante suivie sous le nom de ViperSoftX , un pirate de l'air RAT et crypto écrit en JavaScript.

Chaîne d'infection

Le ViperSoftX est une menace qui a été identifiée pour la première fois en 2020, avec des rapports à ce sujet publiés par des chercheurs, ainsi que des experts en infosec. Les principaux vecteurs d'infection de ViperSoftX sont des cracks ou des activateurs de jeux armés pour des outils logiciels payants disponibles en téléchargement sur des plateformes torrent. Cependant, la campagne menaçante a subi plusieurs changements importants, comme le détaille un nouveau rapport publié par d'autres chercheurs.

Selon leurs conclusions, les attaques ViperSoftX se sont intensifiées en 2022 et, le 8 novembre, les cybercriminels ont réussi à collecter environ 130 000 dollars auprès de leurs victimes. Les principales cibles des attaques ont été les utilisateurs situés aux États-Unis, en Italie, en Inde et au Brésil. Les nouvelles versions de ViperSoftX ont également commencé à supprimer l'extension de navigateur VenomSoftX jusque-là inconnue.

Détails de VenomSoftX

La menace nuisible peut avoir un impact sur les navigateurs basés sur Chrome, y compris Chrome, Edge, Opera, Brave, etc. La menace se présente comme " Google SHeets 2.1 " ou " Update Manager ", qui pourraient sembler être des applications légitimes et utiles en se basant uniquement sur leur nom. En réalité, VenomSoftX pourrait offrir aux acteurs de la menace de meilleures chances de collecter des crypto-monnaies que le malware ViperSoftX.

Une fois activée sur l'appareil, l'extension de navigateur attendra qu'une certaine API soit appelée et falsifiera la demande, ce qui entraînera la redirection des fonds associés vers les attaquants. Plusieurs des services de cryptographie les plus importants peuvent être impactés - Blockchain.com, Coinbase, Kucoin et Gate.io. Les fonds des transactions interceptées seront fixés au maximum disponible et les crypto-monnaies seront détournées des comptes des victimes. Le presse-papiers sera également surveillé pour les adresses de portefeuille supplémentaires.

VenomSoftX est également capable de collecter les mots de passe saisis sur le site Web Blockchain.info. Les informations saisies sur d'autres sites Web seront vérifiées pour voir si elles correspondent à certains critères et seront également transmises aux acteurs de la menace.

Un signe de la présence de VenomSoftX sur le système est de vérifier son emplacement. Les Google Sheets légitimes sont généralement installés dans Chrome en tant qu'application sous chrome://apps/ et ne sont pas classés comme une extension. Cela signifie que si vous trouvez une entrée Google Sheets répertoriée sur la page d'extension du navigateur, il peut être préférable de la supprimer dès que possible.