Инфостилер распространяется через вредоносную рекламу и выдаёт себя за безобидное ПО.
Специалисты Trend Micro сообщают о появлении образца нового вредоносного ПО OpcJacker, который был обнаружен в дикой природе со второй половины 2022 года в ходе кампании вредоносной рекламы.
По данным Trend Micro, основные функции OpcJacker включают:<ul><li>регистрацию нажатий клавиш (кейлоггинг);</li>
</ul><ul><li>создание снимков экрана;</li>
</ul><ul><li>кражу конфиденциальных данных из браузеров;</li>
</ul><ul><li>загрузку дополнительных модулей;</li>
</ul><ul><li>замену адреса криптокошелька в буфере обмена для перехвата транзакции.</li>
</ul>Первоначальный вектор атаки включает в себя сеть поддельных веб-сайтов, рекламирующих ПО и приложения, связанные с криптовалютой. Кампания в феврале 2023 года была нацелена на пользователей в Иране под предлогом предоставления VPN-услуг.
https://www.securitylab.ru/upload/me...x9oy4yhiic.png
Пример вредоносной рекламы, предназначенной для доставки OpcJacker
Файлы установщика действуют как канал для развертывания OpcJacker, который также способен доставлять полезные нагрузки следующего этапа, такие как NetSupport RAT и подключение hVNC для получения удаленного доступа.
OpcJacker скрывается с помощью шифровальщика Babadeda и использует файл конфигурации для активации своих функций сбора данных. Вредоносное ПО также может запускать произвольный шелл-код и исполняемые файлы.
https://www.securitylab.ru/upload/me...4a03t0r2s1.png
«Формат файла конфигурации напоминает байт-код, написанный на специальном машинном языке, где анализируется каждая инструкция, получаются отдельные коды операций, а затем выполняется определенный обработчик», — говорится в сообщении Trend Micro.
Учитывая способность вредоносного ПО красть криптовалюту из кошельков, предполагается, что кампания имеет финансовую мотивацию. Тем не менее, универсальность OpcJacker также делает его отличным загрузчиком вредоносных программ.