ระวัง ! ViperSoftX มัลแวร์ม้าโทรจัน ฝังส่วนเสริมอันตรายบนเบราว์เซอร์ขโมยข้อมูล และคริปโต

ViperSoftX คือมัลแวร์ม้าโทรจัน (Trojan Horse)  ที่มีจุดประสงค์ในการล้วงข้อมูล Login และ เหรียญคริปโตเคอร์เรนซีของเหยื่อบนเบราว์เซอร์ ด้วยการติดตั้งส่วนต่อขยายอันตรายบนเบราว์เซอร์โดยไม่ได้รับการยินยอม มีรายงานการพบเจอตั้งแต่ปี ค.ศ. 2020 (พ.ศ. 2563) ก่อนจะพบว่ามันกลับมาอีกครั้ง และมีผู้ได้รับผลกระทบทั่วโลก

ในรายงานของเว็บไซต์ decoded.avast ผู้เชี่ยวชาญระบุว่า มัลแวร์ตัวนี้ ได้ถูกเผยแพร่ผ่านซอฟต์แวร์ผิดลิขสิทธิ์ อาทิ Adobe Illustrator, Corel Video Studio, Microsoft Office เป็นตัน ซึ่งเป็นการดาวน์โหลดผ่าน BitTorrent หากนับมุลค่ารวมความเสียหายที่มัลแวร์ตัวนี้สร้างไว้ ตีเป็นเงินสกุลเหรียญดิจิทัลชนิดต่าง ๆ ที่ถูกขโมยได้ ประมาณ 130,421 เหรียญดอลลาร์สหรัฐ หรือประมาณ 4,600,000 บาท ส่วนมากเป็นเหรียญ Bitcoin และเหยื่อส่วนใหญ่อยู่ในประเทศอินเดีย รองลงมาสหรัฐอเมริกา และ อิตาลี ตามลำดับ (จากในแผนที่พบว่ามีเหยื่ออยู่ในประเทศไทย แต่ค่อนข้างเบาบาง) 

แผนที่แสดงโซนเป้าหมาย / ข้อมูลผู้ใช้โปรแกรม Avast โดย Avast Threat Labs  

ในรายของ decoded.avast ยังอธิบายถึงวิธีการโจมตีของ ViperSoftX เอาไว้ดังนี้ว่า เมื่อเหยื่อติดมัลแวร์ จะได้รับไฟล์ที่ชื่อว่า Activator.exe โดยไฟลตัวนี้จะทำหน้าที่ในการติดตั้ง ViperSoftX เป็น Log file ที่ใส่โค้ดอันตรายเอาไว้ จากนั้นโค้ดของ ViperSoftX ก็จะทำการเรียกใช้ PowerShell เพื่อดำเนินการดาวน์โหลดโมดูลอีกตัวมา คือ VenomSoftX PowerShell installer ซึ่งเป็นส่วนที่จะทำการติดตั้งส่วนเสริมอันตรายบนเบราว์เซอร์ของผู้ใช้งานที่พัฒนาจาก Based on Chromium นั่นหมายถึงส่งผลต่อเบราว์เซอร์ Google Chrome, Microsoft Edge, Opera, Brave และ Vivaldi

ส่วนขยายเหล่านั้นจะปลอมตัวด้วยชื่อที่เรารู้จัก เช่น Google Sheet นั่นทำให้เหยื่อจะไม่รู้สึกสงสัยว่ามีสิ่งแปลกปลอมติดตังมาบนส่วนต่อขยายของเบราว์เซอร์ 

- Jan Rubín นักวิจัยด้านความปลอดภัย

หลังจากติดตั้งส่วนขยายอันตรายเรียบร้อย สิ่งที่ ViperSoftX สามารถทำได้ คือการโอนเหรียญคริปโตของเหยื่อออกไป, การแลกเปลี่ยนคลิปบอร์ด, การขโมยพิมพ์ลายนิ้วมือบนอุปกรณ์ของเหยื่อ ตลอดการดาวน์โหลดและดำเนินการติดตั้ง Payload อื่น ๆ เพื่อดำเนินการคำสั่งตามอำเภอใจ

ผังการดำเนินการของ ViperSoftX.