Malware Crypto-Stealing OpcJacker visa usuários com serviço de VPN falso
3 de Abril de 2023

Um novo malware de roubo de informações chamado OpcJacker foi detectado em circulação desde a segunda metade de 2022 como parte de uma campanha maliciosa de publicidade.

"As principais funções do OpcJacker incluem keylogging, tirar screenshots, roubar dados sensíveis dos navegadores, carregar módulos adicionais e substituir endereços de criptomoedas na área de transferência para fins de sequestro", disseram os pesquisadores da Trend Micro, Jaromir Horejsi e Joseph C. Chen.

O vetor inicial da campanha envolve uma rede de sites falsos que anunciam softwares aparentemente inofensivos e aplicativos relacionados a criptomoedas.

A campanha de fevereiro de 2023 direcionou especificamente usuários do Irã sob o pretexto de oferecer um serviço VPN.

Os arquivos de instalação atuam como um condutor para implantar o OpcJacker, que também é capaz de entregar payloads de próxima etapa, como NetSupport RAT e uma variante oculta de virtual network computing (hVNC) para acesso remoto.

O OpcJacker é oculto usando um criptografador conhecido como Babadeda e usa um arquivo de configuração para ativar suas funções de coleta de dados.

Ele também pode executar shellcodes e executáveis arbitrários.

"O formato do arquivo de configuração se assemelha a um bytecode escrito em uma linguagem de máquina personalizada, onde cada instrução é analisada, opcodes individuais são obtidos e, em seguida, o manipulador específico é executado", disse a Trend Micro.

Dada a capacidade do malware de roubar fundos de criptomoedas de carteiras, suspeita-se que as campanhas sejam motivadas financeiramente.

Dito isso, a versatilidade do OpcJacker também o torna um carregador de malware ideal.

As descobertas surgem enquanto a Securonix revelou detalhes de uma campanha contínua de ataque denominada TACTICAL#OCTOPUS, que tem como alvo entidades dos EUA com iscas temáticas de impostos para infectá-las com backdoors para ganhar acesso aos sistemas das vítimas, bem como capturar dados da área de transferência e teclas digitadas.

Em um desenvolvimento relacionado, usuários italianos e franceses que procuram versões quebradas de softwares de manutenção de PC, como EaseUS Partition Master e Driver Easy Pro no YouTube, estão sendo redirecionados para páginas do Blogger que distribuem o dropper NullMixer.

O NullMixer também se destaca por deixar cair uma grande variedade de malwares prontos para uso, incluindo PseudoManuscrypt, Raccoon Stealer, GCleaner, Fabookie e um novo carregador de malware referido como Crashtech Loader, levando a infecções em larga escala.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...