Опасность подстерегает на каждом шагу: новый вредонос OpcJacker нацелен на криптовалюту и конфиденциальность

Специалисты Trend Micro сообщают о появлении образца нового вредоносного ПО OpcJacker, который был обнаружен в дикой природе со второй половины 2022 года в ходе кампании вредоносной рекламы.

По данным Trend Micro, основные функции OpcJacker включают:

• регистрацию нажатий клавиш (кейлоггинг);
• создание снимков экрана;
• кражу конфиденциальных данных из браузеров;
• загрузку дополнительных модулей;
• замену адреса криптокошелька в буфере обмена для перехвата транзакции.

Первоначальный вектор атаки включает в себя сеть поддельных веб-сайтов, рекламирующих ПО и приложения, связанные с криптовалютой. Кампания в феврале 2023 года была нацелена на пользователей в Иране под предлогом предоставления VPN-услуг.

Пример вредоносной рекламы, предназначенной для доставки OpcJacker

Файлы установщика действуют как канал для развертывания OpcJacker, который также способен доставлять полезные нагрузки следующего этапа, такие как NetSupport RAT и подключение hVNC для получения удаленного доступа.

OpcJacker скрывается с помощью шифровальщика Babadeda и использует файл конфигурации для активации своих функций сбора данных. Вредоносное ПО также может запускать произвольный шелл-код и исполняемые файлы.

«Формат файла конфигурации напоминает байт-код, написанный на специальном машинном языке, где анализируется каждая инструкция, получаются отдельные коды операций, а затем выполняется определенный обработчик», — говорится в сообщении Trend Micro.

Учитывая способность вредоносного ПО красть криптовалюту из кошельков, предполагается, что кампания имеет финансовую мотивацию. Тем не менее, универсальность OpcJacker также делает его отличным загрузчиком вредоносных программ.