ViperSoftX 不断进化： 新的 PowerShell 恶意软件具有隐蔽性和持久性

K7 Labs公布了对基于PowerShell的新恶意软件活动的详细分析,该活动建立在2024年的ViperSoftX系列之上 – 现在具有增强的模块化,隐身和弹性。在2025年初通过在地下论坛和威胁狩猎社区传播的样本鉴定出来,这种演变表明对持久性和检测逃避的更敏锐关注。

“该样本类似于2024年的ViperSoftX窃贼,但模块化,隐身和持久性机制显着增加,”研究人员在介绍中写道。

恶意软件展示了一个结构化的多阶段执行模型,从初始化到命令和控制(C2)通信。关键的区别是其模块化设计和智能会话管理 – 与其前身更直接的方法相比。

发现的第一个增强功能是使用 mutexes:“2025年版本使用GUID风格的互斥标识符,并将睡眠时间增加到300秒 – 这延迟了沙盒检测……”

通过用动态生成的GUID替换静态互斥命名,恶意软件不仅逃避检测,而且确保只有一个实例同时运行,从而避开传统的反恶意软件钩。

与2024年的同行不同,它将持久性委托给外部装载机,2025年变体使用三层后备系统自我管理其立足点:

• ①计划任务:名为 WindowsUpdateTask 的 Windows 登录任务。
• ②注册表项:在 HKCU 下运行密钥。
• ③启动文件夹:在用户的启动目录中丢弃的批处理脚本。

“脚本将自己复制到AppDataMicrosoftWindowsConfigwinconfig.ps1,”研究人员详细说明,展示了现在如何内置隐身和冗余。

在C2交互方面,恶意软件已经从明文POST和弃用的WebClient调用到加密的XOR编码有效载荷和现代。NET HttpClient API 网络。

“在2025年,它采用了现代的HttpClient。NET API…与合法的软件行为更好地对齐,从而保持在雷达之下。

此外,恶意软件使用巧妙的同步策略不断检查服务器状态:

“每30年一次:检查C2是否重新启动……如果是→重置会话。Else →获取新命令。

这种能力 – 跟踪基础设施重新部署 – 建议专业级后端协调,在商品恶意软件中很少见。

恶意软件现在支持更广泛的侦察:

• ①通过多种回退服务提供公共 IP 地址
• ②系统信息收集
• ③针对像KeePass这样的密码管理器
• ④扩展钱包定位:MetaMask、Ledger、Coinbase、Exodus等。

它甚至在请求格式中模仿浏览器行为,在base64编码的HTTP GET中嵌入元数据,以避免触发入侵检测系统。

有效载荷执行也已经成熟。“当前的变体创建PowerShell工作来运行每个解码的有效载荷,”使检测更加困难,执行更加稳定。

使用 PowerShell 后台作业而不是同步 shell 命令允许恶意软件在后台执行任务时继续静默运行。