En ny skadlig programvara vid namn ViperTunnel sprider sig bland företag i Storbritannien och USA. Den installeras via falska webbläsaruppdateringar och säljs vidare till ransomware-grupper som vill ha långvarig åtkomst till företagsnätverk.

Så fungerar ViperTunnel

ViperTunnel är en Python-baserad bakdörr som har utvecklats sedan slutet av 2023. Den levereras oftast via FAKEUPDATES, även känt som SocGholish, en attackmetod där användare luras att ladda ner falska webbläsaruppdateringar från komprometterade webbplatser.

När ViperTunnel väl är installerad döljer den sig genom en flerstegsprocess: en falsk DLL-fil laddar en obfuskerad Python-miljö som etablerar en SOCKS5-tunnel över port 443. Trafiken ser ut som vanlig HTTPS-kommunikation, vilket gör den svår att upptäcka med traditionella nätverksverktyg.

Koppling till EvilCorp och RansomHub

Säkerhetsforskare kopplar ViperTunnel till UNC2165/EvilCorp, en av de mest ökända cyberkriminella grupperna. Bakdörren används för att behålla åtkomst till komprometterade nätverk under lång tid. Åtkomsten säljs sedan vidare till ransomware-grupper, däribland RansomHub, som genomför själva utpressningsattacken.

Det innebär att ViperTunnel fungerar som en mellanhand i ransomware-ekosystemet. Företaget som drabbas märker kanske inte intrånget förrän ransomware-attacken redan är igång, veckor eller månader efter den initiala infektionen.

Varför falska uppdateringar fortfarande fungerar

SocGholish-metoden har använts i åratal men är fortfarande effektiv. Angriparna komprometterar legitima webbplatser och injicerar kod som visar en övertygande uppdateringsprompt. Användaren tror att webbläsaren behöver uppdateras och laddar ner skadlig programvara istället.

Problemet förvärras av att många företag saknar kontroll över vilka webbplatser medarbetarna besöker och vilka filer som laddas ner. Utan endpoint-skydd som kan identifiera SocGholish-mönster passerar den initiala infektionen ofta obemärkt.

Så skyddar ni ert företag

Blockera nedladdning av körbara filer från webbläsaren via grupprinciper. Implementera endpoint detection and response (EDR) som kan identifiera obfuskerade Python-processer och ovanlig SOCKS5-trafik. Utbilda medarbetare i att aldrig acceptera uppdateringsmeddelanden som dyker upp på webbplatser.

Övervaka utgående trafik på port 443 efter mönster som avviker från normal HTTPS. ViperTunnels SOCKS5-tunnel kan identifieras genom trafikanalys om ni vet vad ni letar efter.

Behöver ni hjälp att skydda ert nätverk mot bakdörrar och ransomware? Kontakta BlckIT så hjälper vi er att stärka ert försvar.