Avast je upozorio da poznati malver za Windows, ViperSoftX, instalira opasnu ekstenziju koja krade podatke u veb pretraživače bazirane na Chromiumu.
Lažni dodatak za pretraživače Avast je nazvao VenomSoftX zbog njegovih samostalnih funkcija koje mu omogućavaju da pristupi svim posJećenim veb sajtovima, da krade akreditive i druge podatke, pa čak i mijenja adrese kriptovaluta.
ViperSoftX je prvi put primjećen u februaru 2020. godine. Malver je opisan kao trojanac za daljinski pristup i malver za krađu kriptovaluta.
Da malver koristi ekstenzije pretraživača za prikupljanje informacija primjećeno je početkom ove godine.
ViperSoftX se obično distribuira pomoću krekovanog softvera za Adobe Illustrator i Microsoft Office koji se nalazi na sajtovima za dijeljenje fajlova.
Preuzeti izvršni fajl dolazi sa čistom verzijom krekovanog softvera zajedno sa dodatnim fajlovima koji obezbeđuju postojanost na zaraženom računaru i sadrže ViperSoftX PowerShell skriptu.
Novije varijante malvera mogu da učitaju dodatak VenomSoftX, koji se preuzima sa servera napadača, u pretraživače kao što su Google Chrome, Microsoft Edge, Opera, Brave i Vivaldi.
Ekstenzija pokušava da se prikrije kao neka poznata i uobičajena esktenzija kao što je na primjer Google Sheets. Sličnu taktiku sa učitavanjem ekstenzije koristio je i poznati malver za krađu podataka ChromeLoader (Choziosi Loader ili ChromeBack).
VenomSoftX, kao i ViperSoftX, mogu da kradu kriptovalute od svojih žrtava, samo su načini na koje to čine različiti. Servisi koje cilja ekstenzija uključuju Blockchain.com, Binance, Coinbase, Gate.io i Kucoin.
Avast kaže da je otkrio i blokirao preko 93.000 infekcija od početka 2022. godine, pri čemu se većina pogođenih korisnika nalazi u Indiji, SAD, Italiji, Brazilu, Velikoj Britaniji, Kanadi, Francuskoj, Pakistanu i Južnoj Africi.
Prema podacima češke kompanije, ova operacija je sajber kriminalcima od 8. novembra 2022. donijela oko 130.000 dolara u različitim kriptovalutama.