ViperSoftX 是窃密软件，负责在失陷主机上潜伏并执行攻击者的命令，或者窃取与加密货币相关信息。

研究人员近期发现 ViperSoftX 开始使用利用开源 OCR 引擎 Tesseract 来窃取用户的图片文件。Tesseract 基于深度学习技术从图片中提取文本，攻击者利用其从失陷主机的图片中提取字符串。如果提取的字符串与密码、加密货币钱包地址有关，恶意软件会将图片回传。

ViperSoftX

ViperSoftX 通常伪装成合法软件的破解版或者注册机进行传播，从失陷主机上窃取信息。ViperSoftX 最早在 2020 年被 Fortinet 发现，随后部署远控木马和窃取加密货币钱包地址的窃密软件。

2022 年，Avast 对外披露了 ViperSoftX 的新攻击行动。这次 ViperSoftX 没有使用 JavaScript 代码，而是使用了 PowerShell 代码。除了窃取加密货币钱包外，还会窃取剪贴板信息以及安装其他恶意软件。此外，VenomSoftX 还会在 Chrome 浏览器上安装恶意扩展进行信息窃密。2023 年，TrendMicro 重新审视了 ViperSoftX 的传播方式。研究人员发现新版本的 ViperSoftX 增加了对 KeePass2 和 1Password 等密码管理软件的检查。

传播恶意软件

研究人员最近跟踪的 ViperSoftX 与 Fortinet 此前对外披露的类似，回传失陷主机的名称、用户名、安装的安全软件和加密货币等信息。新版本使用 Welcome_2025 代替了 viperSoftx，并使用 base64 算法对 User-Agent 进行了编码。

ViperSoftX 的 User-Agent

攻击者部署了名为 win32.exe 的 Dropper 来更新 ViperSoftX，该程序在资源段中内嵌了名为 Svchost.exe 和 System32.exe 的恶意软件，并在计划任务中注册名为 update.ps1 的 PowerShell 脚本。

安装的 Dropper

update.ps1 释放的 PowerShell 脚本将注册到计划任务，创建名为 Check system 和 Chromeniumscrypt 的任务来执行位于 %PROGRAMDATA% 和 %PUBLIC% 中的 update.ps1。

与此前支持六个命令的旧版本不同，新版的 ViperSoftX 只支持三个命令：DwnlExe、Cmd 与 SelfRemove。

主逻辑

此外，攻击者还准备了下载并执行外部命令的 PowerShell 脚本与安装浏览器恶意扩展的 PowerShell 脚本。PowerShell 脚本在计划任务中注册，以维持恶意软件的持续存在与定期更新。

PowerShell 代码

攻击者利用入侵失陷主机的 ViperSoftX 来安装其他恶意软件，已经发现的包括 Quasar RAT 与 TesseractStealer。

QuasarRAT

Quasar RAT 是用 .NET 开发的开源远控木马，支持进程、文件、注册表修改以及远程命令执行等操作。Quasar RAT 还可以通过按键记录和凭据收集功能来收集失陷主机上的更多信息，还支持攻击者通过远程桌面等功能实时控制失陷主机。

Quasar RAT

自从 2023 年 7 月起，攻击者就一直在使用 ViperSoftX 分发 Quasar RAT。从行为上来看，攻击者并不针对特定的个人。特别是 2024 年 3 月以来，大量系统上都发现了 Quasar RAT。

攻击者所使用的 Quasar RAT 基本都没有明显的特征，最近也发现了使用 Tor 网络的情况。恶意软件将 Tor 作为代理服务器与 C&C 服务器进行通信，配置中存储的 C&C 服务器也是 Tor 域名。

部署 Tor

Tor 网络的 C&C 服务器

TesseractStealer

攻击者除了 Quasar RAT 还安装了信息窃密恶意软件，研究人员将其命名为 TesseractStealer。TesseractStealer 利用开源 OCR 引擎 Tesseract，通过深度学习技术从图片中提取文本。

Tesseract

TesseractStealer 释放内嵌在资源段中的 Tesseract（tesseract50.dll）、库文件 Leptonica（leptonica-1.82.0.dll）、训练数据文件 eng.traineddata 以及字体文件 pdf.ttf。随后，寻找失陷主机上的图片文件，特别是 .png、.jpg 与 .jpeg 格式的文件，但不包括 editor 目录下的图片。

提取文本

利用安装的 Tesseract 从图片文件中提取字符串，如果包含特定字符串就回传给 C&C 服务器。

检查特定字符串

窃取图片代码

检查的字符串都与 OTP、恢复密码、加密货币钱包地址有关，攻击者想要针对将秘密信息截图保存为图片的用户。例如“您的钱包生成种子”短语可能是针对 Electrum 钱包的，攻击者希望通过窃取种子短语窃取加密货币。

输入窗口

结论

控制失陷主机并窃取用户信息的 ViperSoftX 明显变得更活跃，攻击者利用其分发 Quasar RAT 和 TesseractStealer。TesseractStealer 利用名为 Tesseract 的图片文本提取工具来获取，有关密码和加密货币相关的截图。

IOC

f9bb6ef02f29f52ff126279ff7d044bb

bdd3d30ea4bc94d1240ea75f1aa212eb

f52616c47b243f3373248ed2a5f49e1c

c21b68dae810444cc013722e97b77802

d9a4b64d20c6860f12b6da0ecd53983a

4373f159c79da9ecf7a05b81868c3a97

240766d7b6b936fad871ea1a7fefc141

c00e53e8cbb5701157002091db4a2500

3b20a80251740bb4443968cdd125b99d

fffb28442b89e1387b30a40cbb211570

66bdc2d36d460fb25bb2114f770d5ade

06cba6b21f02f980f755da363dfc50a8

6987e127bc6c12fcb9f1876e8ecf64d1

862d9a823ae99b9181b749ae66198bca

4c96de9869538349c8daae65342ad94c

hxxp://mysystemes.com:80/connect

hxxp://xboxwindows.com/api/v1/

bideo.duckdns.org:15

bideo.duckdns.org:2

bideo.duckdns.org:7

mvps-remote.duckdns.org:103

YouTubevideos.duckdns.org

win32updates.duckdns.org

hxxps://22.rooz2024.workers.dev

hxxps://www.uplooder.net/f/tl/92/fd73d54c0013b987b9f3b66d839975d9/csrss.exe

hxxp://rooz2024.com/wfdfsgfsgdh/wfin.x

参考来源

Ahnlab