Un nouveau logiciel malveillant voleur d’informations appelé OpcJacker a été repéré dans la nature depuis le second semestre 2022 dans le cadre d’une campagne de malvertising.
« Les principales fonctions d’OpcJacker incluent l’enregistrement des frappes, la prise de captures d’écran, le vol de données sensibles des navigateurs, le chargement de modules supplémentaires et le remplacement des adresses de crypto-monnaie dans le presse-papiers à des fins de piratage », ont déclaré Jaromir Horejsi et Joseph C. Chen, chercheurs de Trend Micro. a dit.
Le vecteur initial de la campagne implique un réseau de faux sites Web annonçant des logiciels apparemment anodins et des applications liées à la crypto-monnaie. La campagne de février 2023 a spécifiquement ciblé les utilisateurs en Iran sous prétexte d’offrir un service VPN.
Les fichiers d’installation agissent comme un conduit pour déployer OpcJacker, qui est également capable de fournir des charges utiles de la prochaine étape telles que NetSupport RAT et un réseau virtuel caché informatique (hVNC) variante pour l’accès à distance.
OpcJacker est dissimulé à l’aide d’un crypteur appelé Babadeda et utilise un fichier de configuration pour activer ses fonctions de collecte de données. Il peut également exécuter un shellcode et des exécutables arbitraires.
« Le format du fichier de configuration ressemble à un bytecode écrit dans un langage machine personnalisé, où chaque instruction est analysée, des opcodes individuels sont obtenus, puis le gestionnaire spécifique est exécuté », a déclaré Trend Micro.
Étant donné la capacité du logiciel malveillant à voler des fonds cryptographiques dans des portefeuilles, les campagnes sont soupçonnées d’être motivées par des raisons financières. Cela dit, la polyvalence d’OpcJacker en fait également un chargeur de logiciels malveillants idéal.
Devenez un pro de la réponse aux incidents !
Découvrez les secrets d’une réponse aux incidents à toute épreuve – Maîtrisez le processus en 6 phases avec Asaf Perlman, le responsable IR de Cynet !
Les résultats surviennent alors que Securonix a révélé les détails d’une campagne d’attaque en cours baptisée TACTIQUE#PIEUVRE qui cible les entités américaines avec des leurres sur le thème de la fiscalité pour les infecter avec des portes dérobées pour accéder aux systèmes des victimes ainsi que pour capturer les données du presse-papiers et les frappes au clavier.
Dans un développement connexe, les utilisateurs italiens et français à la recherche de versions piratées de logiciels de maintenance pour PC tels que EaseUS Partition Master et Driver Easy Pro sur YouTube sont redirigés vers les pages Blogger. distribuer le compte-gouttes NullMixer.
NullMixer se distingue également par la suppression simultanée d’une grande variété de logiciels malveillants prêts à l’emploi, notamment PseudoManuscrypt, Raccoon Stealer, GCleaner, Fabookie et un nouveau chargeur de logiciels malveillants appelé Crashtech Loader, entraînant des infections à grande échelle.
