此恶意软件安装恶意浏览器扩展以窃取用户密码和密码

据观察，基于Chromium的web浏览器的恶意扩展通过一个名为毒蛇.

总部位于捷克的网络安全公司称其为恶意浏览器插件VenomSoftX，因为其独立功能使其能够访问网站、窃取凭据和剪贴板数据，甚至通过中间对手（AiTM）攻击交换加密货币地址。

ViperSoftX于2020年2月首次曝光，Fortinet将其描述为基于JavaScript的远程访问木马和加密货币窃取者。Sophos威胁分析师科林·考伊（Colin Cowie）今年早些时候记录了该恶意软件使用浏览器扩展来推进其信息收集目标。

Avast研究人员Jan Rubín在一份技术报告中表示：“这种多级窃取器展示了有趣的隐藏功能，隐藏在一行小PowerShell脚本上，位于看似无害的大型日志文件中间”。

“ViperSoftX专注于窃取加密货币、剪贴板交换、对受感染的机器进行指纹识别，以及下载和执行任意附加负载或执行命令”。

用于传播ViperSoftX的分发向量通常是通过Adobe Illustrator和Microsoft Office的破解软件完成的，这些软件托管在文件共享网站上。

下载的可执行文件附带了一个干净版本的破解软件，以及在主机上设置持久性并包含ViperSoftX PowerShell脚本的其他文件。

新版本的恶意软件还能够将VenomSoftX插件加载到基于Chromium的浏览器，如Google Chrome、Microsoft Edge、Opera、Brave和Vivaldi。

这是通过搜索浏览器应用程序的LNK文件并使用“--load extension”命令行开关修改快捷方式来实现的，该开关指向存储解压缩扩展名的路径。

Rubín解释道：“该扩展试图将自己伪装成众所周知的常见浏览器扩展，如Google Sheets”。“实际上，VenomSoftX是另一个信息窃取者，它部署在毫无戒心的受害者身上，拥有用户从受感染的浏览器访问的每个网站的完全访问权限”。

值得注意的是，另一个基于浏览器的信息窃取者ChromeLoader（又名Choziosi Loader或ChromeBack）也使用了--load扩展策略。

VenomSoftX和ViperSoftX一样，也被精心策划，从受害者那里窃取加密货币。但与后者不同，VenomSoftX充当一个快船，将资金转移转移到攻击者控制的钱包，它篡改加密交易所的API请求，以耗尽数字资产。

该扩展的目标服务包括Blockchain.com、Binance、Coinbase、Gate.io和Kucoin。

这一发展标志着传统的剪贴板交换升级到了一个新的水平，同时也不会立即引起任何怀疑，因为钱包地址在一个更基本的层面上被替换。

Avast表示，自2022年初以来，已检测并阻止了超过9.3万例感染，受影响的用户大多位于印度、美国、意大利、巴西、英国、加拿大、法国、巴基斯坦和南非。

对样本中硬编码钱包地址的分析显示，截至2022年11月8日，该行动以各种加密货币为作者净赚了总计约130421美元。此后，集体货币收益已降至104500美元。

Rubín说：“由于区块链/分类账上的交易本质上是不可逆的，因此当用户事后检查付款的交易历史时，已经太迟了”。