Инфостилер распространяется через вредоносную рекламу и выдаёт себя за безобидное ПО.
Специалисты Trend Micro сообщают о появлении образца нового вредоносного ПО OpcJacker, который был обнаружен в дикой природе со второй половины 2022 года в ходе кампании вредоносной рекламы.
По Для просмотра ссылки Войдиили Зарегистрируйся Trend Micro, основные функции OpcJacker включают:
Первоначальный вектор атаки включает в себя сеть поддельных веб-сайтов, рекламирующих ПО и приложения, связанные с криптовалютой. Кампания в феврале 2023 года была нацелена на пользователей в Иране под предлогом предоставления VPN -услуг.
Пример вредоносной рекламы, предназначенной для доставки OpcJacker
Файлы установщика действуют как канал для развертывания OpcJacker, который также способен доставлять полезные нагрузки следующего этапа, такие как NetSupport RAT и подключение hVNC для получения удаленного доступа.
OpcJacker скрывается с помощью шифровальщика Babadeda и использует файл конфигурации для активации своих функций сбора данных. Вредоносное ПО также может запускать произвольный шелл-код и исполняемые файлы.
«Формат файла конфигурации напоминает байт-код, написанный на специальном машинном языке, где анализируется каждая инструкция, получаются отдельные коды операций, а затем выполняется определенный обработчик», — говорится в сообщении Trend Micro.
Учитывая способность вредоносного ПО красть криптовалюту из кошельков, предполагается, что кампания имеет финансовую мотивацию. Тем не менее, универсальность OpcJacker также делает его отличным загрузчиком вредоносных программ.
Специалисты Trend Micro сообщают о появлении образца нового вредоносного ПО OpcJacker, который был обнаружен в дикой природе со второй половины 2022 года в ходе кампании вредоносной рекламы.
По Для просмотра ссылки Войди
- регистрацию нажатий клавиш (кейлоггинг);
- создание снимков экрана;
- кражу конфиденциальных данных из браузеров;
- загрузку дополнительных модулей;
- замену адреса криптокошелька в буфере обмена для перехвата транзакции.
Первоначальный вектор атаки включает в себя сеть поддельных веб-сайтов, рекламирующих ПО и приложения, связанные с криптовалютой. Кампания в феврале 2023 года была нацелена на пользователей в Иране под предлогом предоставления VPN -услуг.
Пример вредоносной рекламы, предназначенной для доставки OpcJacker
Файлы установщика действуют как канал для развертывания OpcJacker, который также способен доставлять полезные нагрузки следующего этапа, такие как NetSupport RAT и подключение hVNC для получения удаленного доступа.
OpcJacker скрывается с помощью шифровальщика Babadeda и использует файл конфигурации для активации своих функций сбора данных. Вредоносное ПО также может запускать произвольный шелл-код и исполняемые файлы.
«Формат файла конфигурации напоминает байт-код, написанный на специальном машинном языке, где анализируется каждая инструкция, получаются отдельные коды операций, а затем выполняется определенный обработчик», — говорится в сообщении Trend Micro.
Учитывая способность вредоносного ПО красть криптовалюту из кошельков, предполагается, что кампания имеет финансовую мотивацию. Тем не менее, универсальность OpcJacker также делает его отличным загрузчиком вредоносных программ.
- Источник новости
- www.securitylab.ru