Специалисты Trend Micro сообщают о появлении образца нового вредоносного ПО OpcJacker, который был обнаружен в дикой природе со второй половины 2022 года в ходе кампании вредоносной рекламы.
По данным Trend Micro, основные функции OpcJacker включают:
- регистрацию нажатий клавиш (кейлоггинг);
- создание снимков экрана;
- кражу конфиденциальных данных из браузеров;
- загрузку дополнительных модулей;
- замену адреса криптокошелька в буфере обмена для перехвата транзакции.
Первоначальный вектор атаки включает в себя сеть поддельных веб-сайтов, рекламирующих ПО и приложения, связанные с криптовалютой. Кампания в феврале 2023 года была нацелена на пользователей в Иране под предлогом предоставления ” data-html=”true” data-original-title=”VPN” >VPN-услуг.
Пример вредоносной рекламы, предназначенной для доставки OpcJacker
Файлы установщика действуют как канал для развертывания OpcJacker, который также способен доставлять полезные нагрузки следующего этапа, такие как NetSupport RAT и подключение hVNC для получения удаленного доступа.
OpcJacker скрывается с помощью шифровальщика Babadeda и использует файл конфигурации для активации своих функций сбора данных. Вредоносное ПО также может запускать произвольный шелл-код и исполняемые файлы.
“Формат файла конфигурации напоминает байт-код, написанный на специальном машинном языке, где анализируется каждая инструкция, получаются отдельные коды операций, а затем выполняется определенный обработчик”, – говорится в сообщении Trend Micro.
Учитывая способность вредоносного ПО красть криптовалюту из кошельков, предполагается, что кампания имеет финансовую мотивацию. Тем не менее, универсальность OpcJacker также делает его отличным загрузчиком вредоносных программ.