VenomLockX

VenomLockX es una extensión de navegador amenazante, diseñada con el objetivo explícito de recopilar criptomonedas. La extensión dañina también tiene una funcionalidad de clipper, como una forma de monitorear el contenido guardado por los usuarios en el portapapeles de sus sistemas Windows y luego sustituir cualquier dirección de billetera criptográfica con las que están bajo el control de los actores de amenazas. La amenaza está siendo implementada en los dispositivos de las víctimas por otra amenaza dañina rastreada como ViperSoftX , un secuestrador RAT y criptográfico escrito en JavaScript.

Cadena de infección

ViperSoftX es una amenaza que se identificó por primera vez en 2020, y los investigadores, así como expertos en seguridad informática, publicaron informes al respecto. Los principales vectores de infección de ViperSoftX son cracks de juegos armados o activadores para herramientas de software pagas disponibles para descargar en plataformas torrent. Sin embargo, la campaña de amenazas ha sufrido varios cambios importantes, como lo detalla un nuevo informe publicado por otros investigadores.

Según sus hallazgos, los ataques de ViperSoftX se intensificaron en 2022 y, para el 8 de noviembre, los ciberdelincuentes habían logrado cobrar alrededor de $ 130,000 de sus víctimas. Los principales objetivos de los ataques han sido usuarios ubicados en EE. UU., Italia, India y Brasil. Las versiones más nuevas de ViperSoftX también han comenzado a eliminar la extensión del navegador VenomSoftX previamente desconocida.

Detalles de VenomSoftX

La amenaza dañina puede afectar a los navegadores basados en Chrome, incluidos Chrome, Edge, Opera, Brave, etc. La amenaza se hace pasar por 'Google SHeets 2.1' o 'Update Manager', que podrían parecer aplicaciones legítimas y útiles basándose únicamente en sus nombres. En realidad, VenomSoftX podría brindar a los actores de amenazas mejores posibilidades de recopilar criptomonedas que el malware ViperSoftX.

Una vez activada en el dispositivo, la extensión del navegador esperará a que se llame a una determinada API y manipulará la solicitud, lo que hará que los fondos asociados se redirijan a los atacantes. Varios de los servicios criptográficos más destacados pueden verse afectados: Blockchain.com, Coinbase, Kucoin y Gate.io. Los fondos de las transacciones interceptadas se establecerán en el máximo disponible y las criptomonedas se desviarán de las cuentas de las víctimas. El portapapeles también será monitoreado en busca de direcciones de billetera adicionales.

VenomSoftX también es capaz de recopilar contraseñas ingresadas en el sitio web Blockchain.info. La información ingresada en otros sitios web se verificará para ver si coincide con ciertos criterios y también se transmitirá a los actores de amenazas.

Una señal de la presencia de VenomSoftX en el sistema es verificar su ubicación. Las Hojas de cálculo legítimas de Google generalmente se instalan en Chrome como una aplicación en chrome://apps/ y no se clasifican como una extensión. Esto significa que si encuentra una entrada de Hojas de cálculo de Google en la página de extensión del navegador, puede ser mejor eliminarla lo antes posible.