Вредоносное ПО OpcJacker

OpcJacker — это новое вредоносное ПО, впервые обнаруженное во второй половине 2022 года в рамках кампании по вредоносной рекламе. Эта угроза предназначена для кражи конфиденциальной информации у пользователей с использованием различных вредоносных тактик.

Одной из основных функций OpcJacker является кейлоггинг, который включает в себя запись каждого нажатия клавиши, которое пользователь делает на своем компьютере. Это может включать конфиденциальную информацию, такую как пароли, номера кредитных карт и другие личные данные. Кроме того, OpcJacker может делать снимки экрана компьютера пользователя, что позволяет захватывать любую конфиденциальную информацию, отображаемую на экране.

OpcJacker нацелен на криптокошельки жертв

OpcJacker также предназначен для кражи конфиденциальных данных из веб-браузеров. Это может включать сохраненные учетные данные для входа в систему, историю просмотров и другие личные данные, хранящиеся в кеше браузера. Вредоносная программа также способна загружать дополнительные модули, которые можно использовать для дальнейшей эксплуатации компьютера пользователя.

Особенно коварной особенностью OpcJacker является его способность заменять криптовалютные адреса в буфере обмена пользователя. Это позволяет вредоносным программам перехватывать любые криптовалютные транзакции, которые пытается совершить пользователь. Это может обернуться для жертвы значительными финансовыми потерями.

Цепочка атак вредоносного ПО OpcJacker

В феврале 2023 года появилась новая кампания вредоносного ПО, нацеленная на пользователей в Иране, использующих сеть поддельных веб-сайтов, рекламирующих, казалось бы, безобидное программное обеспечение и приложения, связанные с криптовалютой. Кампания была разработана, чтобы заманить ничего не подозревающих пользователей к загрузке установочного файла, изображающего из себя приложение VPN, которое действует как канал для развертывания вредоносного ПО OpcJacker.

Вредоносное ПО OpcJacker скрыто с помощью шифровальщика под названием Babadeda, что позволяет ему избежать обнаружения программным обеспечением для защиты от вредоносных программ. После установки вредоносное ПО развертывает дополнительные полезные нагрузки, такие как NetSupport RAT и вариант скрытых виртуальных сетевых вычислений (hVNC), который обеспечивает удаленный доступ к компьютеру жертвы.

Чтобы активировать свои функции сбора данных, OpcJacker использует файл конфигурации, а также может запускать произвольные команды шелл-кода, а также исполняемые файлы. Его способность скрывать свое присутствие и доставлять дополнительные полезные нагрузки делает OpcJacker опасным вредоносным ПО, которое может нанести серьезный ущерб как отдельным лицам, так и организациям. Крайне важно проявлять бдительность при загрузке программного обеспечения из непроверенных источников и иметь надежное антивирусное решение для защиты от таких угроз.