ViperSoftX mutado: hackers crearon un ladrón de criptomonedas invulnerable
Se oculta en el sistema, espera 300 segundos y solo entonces comienza a buscar.
En los foros clandestinos comenzaron a circular nuevas muestras de malware basado en PowerShell, que representan una versión modernizada del conocido ladrón de datos ViperSoftX. La nueva modificación de 2025 muestra un avance técnico significativo en comparación con las versiones anteriores lanzadas en 2024. Su mayor modularidad, sigilo y resistencia a la eliminación la hacen especialmente peligrosa tanto para usuarios de criptomonedas como para sistemas corporativos.
El análisis del código confirma que el malware ha recibido múltiples mejoras destinadas a aumentar su persistencia y dificultar su detección. Su arquitectura se ha vuelto más flexible y dinámica, y todo su ciclo de vida está cuidadosamente diseñado, desde la inicialización hasta la interacción con el servidor de comando.
En la nueva versión, el proceso de inicio ha sido profundamente rediseñado. A diferencia de la variante de 2024, que utilizaba un simple retraso de 10 segundos y un mutex estático, la versión actualizada emplea un identificador GUID para evitar ejecuciones repetidas y aumenta la pausa a 300 segundos. Esto no solo evita la ejecución paralela de varias instancias, sino que también reduce la probabilidad de detección en sandboxes y sistemas de análisis de comportamiento.
Para el camuflaje de red, se ha reemplazado el componente obsoleto System.Net.WebClient por el más moderno HttpClient, lo que permite manipular encabezados HTTP y mantener conexiones HTTPS seguras, imitando el comportamiento de software legítimo. Además, la transmisión de datos entre el host infectado y el servidor de comando ahora se cifra mediante un simple algoritmo XOR con clave 65, en lugar de enviarse en texto claro o codificado en base64, como antes. Este enfoque dificulta el análisis del tráfico de red y permite eludir los sistemas de detección estándar.
Los mecanismos de persistencia en el sistema se han vuelto notablemente más fiables. Mientras que en 2024 ViperSoftX a menudo dependía de cargadores externos, la versión actual incluye tres métodos de respaldo para sobrevivir a reinicios. Se crea una tarea del programador bajo la apariencia de una del sistema — "WindowsUpdateTask" — además de una clave de inicio automático en el registro HKCU y un archivo BAT oculto en la carpeta de inicio del usuario. El script en sí se copia en una ruta discreta "AppData\Microsoft\Windows\Config\winconfig.ps1" y se oculta durante la instalación.
La funcionalidad del código malicioso también se ha ampliado significativamente. Además de la recolección básica de datos, ahora apunta a múltiples monederos de criptomonedas, incluidos Exodus, Atomic, Electrum y Ledger. También se han visto afectados extensiones de navegador utilizadas para criptomonedas — MetaMask, Binance y Coinbase — así como archivos de configuración de KeePass.
Adicionalmente, el código malicioso solicita la dirección IP de la víctima mediante una serie de servicios externos de respaldo, utilizando estos datos para la geolocalización y la vinculación a campañas específicas. Las versiones anteriores no presentaban un mecanismo similar.
La estructura modular se ha vuelto aún más sofisticada: funciones como Get-ServerID y Test-ServerRestarted permiten al malware monitorear cambios en la infraestructura C2 y restablecer automáticamente la conexión si el servidor ha sido trasladado o reiniciado. Esto acerca al malware al nivel de herramientas empleadas en ataques dirigidos profesionales.
Los autores del informe destacan que la nueva versión de ViperSoftX no es simplemente una evolución, sino un salto cualitativo. La identificación única de víctimas, la comunicación cifrada y la sincronización con el servidor de comando la convierten en un objetivo extremadamente difícil de detectar y analizar. La ampliación de objetivos y el alto nivel de resistencia elevan el estándar para todas las herramientas similares en la ecosistema del malware.
Para protegerse contra este tipo de amenazas, los especialistas recomiendan utilizar soluciones integrales capaces de detectar actividad maliciosa en diversas etapas del proceso de infección.