Avast Softwareは11月21日(現地時間)、「ViperSoftX: Hiding in System Logs and Spreading VenomSoftX - Avast Threat Labs」において、「ViperSoftX」と呼ばれる情報を窃取するマルウェアの脅威について伝えた。「ViperSoftX」はChromiumベースのブラウザ用の拡張機能として配布されており、情報窃取ツールとして動作していることが明らかとなった。

ViperSoftX: Hiding in System Logs and Spreading VenomSoftX - Avast Threat Labs

ViperSoftXは2020年にTwitterで初めて報告され、Fortinetによって文書化された情報スティーラー(情報を窃取するマルウェア)とされている。暗号資産の窃取、クリップボードのスワッピング、感染したマシンのフィンガープリントのほか、任意の追加ペイロードのダウンロードおよび実行またはコマンドの実行に重点を置いているとみられている。

ViperSoftXは、主にAdobe Illustrator、Corel Video Studio、Microsoft Officeなどのクラックされたソフトウェアを介して感染し、Torrentやソフトウェア共有Webサイトを通じて拡散している。活動は世界中に分散しており、被害が大きな国としてはインド、米国、イタリアがある。

Map illustrating the targeted countries since the beginning of 2022 - Avast Threat Labs

ViperSoftXがChromeの拡張機能の形をした特定の情報窃取ツールを配布していることが、Avast Softwareの調査によって判明した。同社はその独立した能力と独自性から、このマルウェアを「VenomSoftX」と呼んでいる。

悪意のあるこの拡張機能は、人気のある暗号資産取引所のAPIリクエストのデータを改ざんして暗号資産アドレススワップを実行するマン・イン・ザ・ブラウザ(MITB: Man-in-the-browser)攻撃を行うことが確認されている。

そのほか、認証情報やクリップボード内容の窃取や暗号アドレスの改ざん、訪問したWebサイトのMQTTを使用してイベントをコマンド&コントロール(C2: Command and Control) サーバに報告するなど、さまざまな悪事を働いていると報告されている。