Lažni dodatak za pretraživače Avast je nazvao VenomSoftX zbog njegovih samostalnih funkcija koje mu omogućavaju da pristupi svim posjećenim veb sajtovima, da krade akreditive i druge podatke, pa čak i mijenja adrese kriptovaluta.
ViperSoftX je prvi put primjećen u februaru 2020. godine. Malver je opisan kao trojanac za daljinski pristup i malver za krađu kriptovaluta. Da malver koristi ekstenzije pretraživača za prikupljanje informacija primjećeno je početkom ove godine.
ViperSoftX se obično distribuira pomoću krekovanog softvera za Adobe Illustrator i Microsoft Office koji se nalazi na sajtovima za dijeljenje fajlova.
Preuzeti izvršni fajl dolazi sa čistom verzijom krekovanog softvera zajedno sa dodatnim fajlovima koji obezbjeđuju postojanost na zaraženom računaru i sadrže ViperSoftX PowerShell skriptu.
Novije varijante malvera mogu da učitaju dodatak VenomSoftX, koji se preuzima sa servera napadača, u pretraživače kao što su Gugl Krom, Edž, Opera, Brejv i Vivaldi.
Ekstenzija pokušava da se prikrije kao neka poznata i uobičajena esktenzija kao što je na primjer Gugl šits. Sličnu taktiku sa učitavanjem ekstenzije koristio je i poznati malver za krađu podataka Kromlouder, piše b92.
VenomSoftX, kao i ViperSoftX, mogu da kradu kriptovalute od svojih žrtava, samo su načini na koje to čine različiti. Servisi koje cilja ekstenzija uključuju Blockchain.com, Binance, Coinbase, Gate.io i Kucoin.
Avast kaže da je otkrio i blokirao preko 93.000 infekcija od početka 2022. godine, pri čemu se većina pogođenih korisnika nalazi u Indiji, SAD, Italiji, Brazilu, Velikoj Britaniji, Kanadi, Francuskoj, Pakistanu i Južnoj Africi.
Prema podacima češke kompanije, ova operacija je sajber kriminalcima od 8. novembra 2022. donela oko 130.000 dolara u različitim kriptovalutama.
