Ciberdelincuentes utilizan ViperSoftX para robar más de 100.000 dólares en criptomonedas
La extensión maliciosa, VenomSoftX, que ViperSoftX instala silenciosamente, proporciona a los atacantes acceso completo a los navegadores de las víctimas
Investigadores de Avast, fabricante mundial especializado en seguridad digital y privacidad, han publicado un análisis en profundidad de ViperSoftX, un ladrón de información utilizado, principalmente, para robar criptomonedas. Este ladrón infeccioso suele instalar una extensión del navegador, que el equipo Avast ha denominado VenomSoftX, con el fin de obtener acceso completo a los navegadores Chromium. ViperSoftX se propaga principalmente a través de versiones de software crackeadas de Adobe Illustrator, Corel Video Studio y Microsoft Office, que se distribuyen habitualmente a través de torrents. La compañía ha bloqueado a más de 93.000 intentos de infección de ViperSoftX en todo el mundo desde enero de 2022, entre los cuales s el foco principal ha estado en India, Estados Unidos e Italia. Avast también ha protegido a más de 1.000 usuarios españoles de este ladrón de información.
“Estimamos que los ciberdelincuentes detrás de ViperSoftX han robado más de 130.000 dólares en criptodivisas, robando Bitcoins, Ethereum, Dogecoins, Bitcoin Cach, Cosmos (ATOM), Tezos y Dash”, especificó Jan Rubin, Investigador de Malware de Avast. “Cuando la gente descarga una versión crackeada de un software caro, tiene la intención de ahorrar dinero, aunque habitualmente acaban perdiéndolo. En este caso, en lugar de descargar el software deseado, la gente descarga un archivo llamado ‘Activator.exe’ o ‘Patch.exe’, y al ejecutarlo, sus ordenadores se infectan con el ladrón de información”, añade.
ViperSoftX es capaz de robar información relacionada con el dispositivo infectado, incluyendo el nombre del ordenador o del usuario, detalles sobre el sistema operativo y su arquitectura, llegando incluso a saber si el dispositivo dispone de un antivirus activo. ViperSoftX roba las criptomonedas almacenadas localmente en el dispositivo infectado, en el software de criptomonedas y en las extensiones del navegador, monitorizando, a su vez, el portapapeles en busca de direcciones de carteras de criptomonedas para realizar el intercambio. Además, el ladrón de información registra criptomonedas y otras aplicaciones financieras.
Por ejemplo, si se detecta una dirección de cuenta de Bitcoin, el malware sustituye el contenido del portapapeles por la dirección del atacante, enviando el dinero directamente a la cuenta del ciberdelincuente. Las criptomonedas que roba el ladrón de información incluyen: BTC, BCH, BNB, ETH, XMR, XRP, DOGE y DASH.
La extensión maliciosa, VenomSoftX, que ViperSoftX instala silenciosamente, proporciona a los atacantes acceso completo a los navegadores de las víctimas, como Chrome, Edge, Brave y Opera. VenomSoftX se disfraza de extensiones conocidas del navegador, como Google Sheets. La extensión engancha solicitudes de API en algunos de los intercambios de criptomonedas más populares, como Blockchain.com, Binance, Coinbase, Gate.io y Kucoin.
