🛡️ 恶意软件通过使用动态生成的GUID互斥体标识符,并将睡眠时间增加到300秒,来增强逃避检测的能力,从而延迟了沙盒检测。
⚙️ 2025年版本的ViperSoftX采用了三层后备系统来实现持久性,包括计划任务、注册表项和启动文件夹中的批处理脚本,以确保其在受感染系统上的持续存在。
🌐 C2通信方面,恶意软件从明文POST和过时的WebClient调用,升级到加密的XOR编码有效载荷和现代的.NET HttpClient API,使其行为更像合法软件,从而降低被检测到的风险。
🔍 恶意软件现在支持更广泛的侦察活动,包括获取公共IP地址、收集系统信息、针对密码管理器(如KeePass)以及扩展钱包定位,如MetaMask、Ledger、Coinbase、Exodus等。
🚀 有效载荷执行方面,当前变体创建PowerShell作业来运行每个解码的有效载荷,允许恶意软件在后台执行任务时保持静默运行,增加了检测的难度和执行的稳定性。
K7 Labs公布了对基于PowerShell的新恶意软件活动的详细分析,该活动建立在2024年的ViperSoftX系列之上 – 现在具有增强的模块化,隐身和弹性。在2025年初通过在地下论坛和威胁狩猎社区传播的样本鉴定出来,这种演变表明对持久性和检测逃避的更敏锐关注。
“该样本类似于2024年的ViperSoftX窃贼,但模块化,隐身和持久性机制显着增加,”研究人员在介绍中写道。
恶意软件展示了一个结构化的多阶段执行模型,从初始化到命令和控制(C2)通信。关键的区别是其模块化设计和智能会话管理 – 与其前身更直接的方法相比。
发现的第一个增强功能是使用 mutexes:
“2025年版本使用GUID风格的互斥标识符,并将睡眠时间增加到300秒 – 这延迟了沙盒检测……”
通过用动态生成的GUID替换静态互斥命名,恶意软件不仅逃避检测,而且确保只有一个实例同时运行,从而避开传统的反恶意软件钩。
与2024年的同行不同,它将持久性委托给外部装载机,2025年变体使用三层后备系统自我管理其立足点:
“脚本将自己复制到AppData\Microsoft\Windows\Config\winconfig.ps1,”研究人员详细说明,展示了现在如何内置隐身和冗余。
在C2交互方面,恶意软件已经从明文POST和弃用的WebClient调用到加密的XOR编码有效载荷和现代。NET HttpClient API 网络。
“在2025年,它采用了现代的HttpClient。NET API…与合法的软件行为更好地对齐,从而保持在雷达之下。
此外,恶意软件使用巧妙的同步策略不断检查服务器状态:
“每30年一次:检查C2是否重新启动……如果是→重置会话。Else →获取新命令。
这种能力 – 跟踪基础设施重新部署 – 建议专业级后端协调,在商品恶意软件中很少见。
恶意软件现在支持更广泛的侦察:
它甚至在请求格式中模仿浏览器行为,在base64编码的HTTP GET中嵌入元数据,以避免触发入侵检测系统。
有效载荷执行也已经成熟。“当前的变体创建PowerShell工作来运行每个解码的有效载荷,”使检测更加困难,执行更加稳定。
使用 PowerShell 后台作业而不是同步 shell 命令允许恶意软件在后台执行任务时继续静默运行。
AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。
鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑