最新迭代的 ViperSoftX 信息窃取恶意软件采用了新技术来逃避检测,它们利用通用语言运行时(CLR)在 AutoIt 脚本中执行 PowerShell 命令。CLR 是微软 .NET 框架不可或缺的一部分,它作为 .NET 应用程序的执行引擎,帮助 ViperSoftX 将代码加载到 AutoIt 中,而 AutoIt 是安全解决方案普遍信任的脚本语言。
研究人员注意到,该恶意软件的开发者已经加入了经过修改的攻击脚本,以提高其复杂性。ViperSoftX 至少从 2020 年开始活跃,主要通过伪装成电子书的 торрент 网站传播。这些 торрент 通常包含恶意 RAR 存档,其中包括诱饵 PDF 或电子书文件、快捷方式(.LNK)文件以及伪装成 JPG 图像文件的 PowerShell 和 AutoIt 脚本。来源