Шкідливе програмне забезпечення OpcJacker
OpcJacker — це нове зловмисне програмне забезпечення, яке було вперше виявлено в другій половині 2022 року в рамках кампанії шкідливої реклами. Ця загроза призначена для викрадення конфіденційної інформації користувачів, використовуючи різні шкідливі тактики.
Однією з основних функцій OpcJacker є клавіатурний журнал, який передбачає запис кожного натискання клавіші користувача на своєму комп’ютері. Це може включати конфіденційну інформацію, як-от паролі, номери кредитних карток та інші особисті дані. Крім того, OpcJacker здатний робити знімки екрану комп’ютера користувача, дозволяючи йому захоплювати будь-яку конфіденційну інформацію, яка відображається на екрані.
OpcJacker націлюється на криптогаманці жертв
OpcJacker також призначений для крадіжки конфіденційних даних із веб-браузерів. Це може включати збережені облікові дані для входу, історію веб-перегляду та інші особисті дані, які зберігаються в кеші браузера. Зловмисне програмне забезпечення також здатне завантажувати додаткові модулі, які можна використовувати для подальшої експлуатації комп’ютера користувача.
Однією особливо підступною особливістю OpcJacker є його здатність замінювати адреси криптовалюти в буфері обміну користувача. Це дозволяє зловмисному програмному забезпеченню захоплювати будь-які операції з криптовалютою, які намагається здійснити користувач. Це може призвести до значних фінансових втрат для жертви.
Ланцюжок атак шкідливого ПЗ OpcJacker
У лютому 2023 року з’явилася нова кампанія зловмисного програмного забезпечення, націлена на користувачів в Ірані за допомогою мережі підроблених веб-сайтів, що рекламують, здавалося б, нешкідливе програмне забезпечення та програми, пов’язані з криптовалютою. Кампанія була розроблена, щоб спонукати нічого не підозрюючих користувачів завантажити файл інсталятора під виглядом програми VPN, яка діє як канал для розгортання зловмисного програмного забезпечення OpcJacker.
Зловмисне програмне забезпечення OpcJacker приховується за допомогою шифрувальника під назвою Babadeda, який дозволяє йому уникнути виявлення програмним забезпеченням для захисту від шкідливих програм. Після встановлення зловмисне програмне забезпечення розгортає додаткові корисні навантаження, такі як NetSupport RAT і варіант прихованої віртуальної мережі (hVNC), який забезпечує віддалений доступ до комп’ютера жертви.
Щоб активувати свої функції збору даних, OpcJacker використовує файл конфігурації, а також може запускати довільні команди shellcode, а також виконувані файли. Його здатність приховувати свою присутність і доставляти додаткові корисні навантаження робить OpcJacker небезпечною шкідливою програмою, яка може завдати серйозної шкоди як окремим особам, так і організаціям. Дуже важливо бути пильним, завантажуючи програмне забезпечення з неперевірених джерел, і мати надійне антивірусне рішення для захисту від таких загроз.