Az OpcJacker malware hamis VPN-t használ a terjedéshez
2022 második fele óta a kiberbiztonsági szakértők a rosszindulatú programok egy új formáját azonosították, amely információkat lop, OpcJacker néven. A Trend Micro kutatói szerint ez a rosszindulatú program számos rosszindulatú tevékenységet hajthat végre, beleértve a billentyűnaplózást, képernyőképek készítését, érzékeny adatok ellopását a webböngészőkből, további modulok betöltését, valamint a kriptovaluta címek vágólapra történő cseréjét eltérítés céljából.
A rosszindulatú programot hamis webhelyek hálózatán keresztül terjesztik, amelyek látszólag ártalmatlan szoftvereket és kriptovalutákkal kapcsolatos alkalmazásokat népszerűsítenek. A legutóbbi kampány, amelyre 2023 februárjában került sor, az iráni felhasználókat célozta meg azzal, hogy úgy tett, mintha VPN-szolgáltatást kínálna.
A letöltés után a telepítőfájlok telepítik az OpcJackert, amely további hasznos terheléseket, például NetSupport RAT-ot és egy rejtett virtuális hálózati számítási (hVNC) változatot képes szállítani a távoli hozzáférés lehetővé tétele érdekében. A kártevő a Babadeda nevű titkosítót használja, hogy elrejtse magát, és tetszőleges shellkódot és végrehajtható fájlokat futtathat.
A 2023. februári kampány során a kutatók felfedezték, hogy az OpcJackert olyan rossz reklámokon keresztül terjesztik, amelyek kifejezetten az iráni felhasználókat célozták meg. Ezeket a rosszindulatú hirdetéseket egy rosszindulatú webhelyhez társították, amelyet úgy álcáztak, hogy egy legitim VPN-szoftver-webhelyre hasonlítson. A webhely tartalmát egy jó hírű kereskedelmi VPN-szolgáltatásból másolták ki, de a hivatkozásokat megváltoztatták, hogy a felhasználókat egy sérült webhelyre irányítsák, amely rosszindulatú tartalmat tárol.
A rosszindulatú webhely ellenőrizte a kliens IP-címét annak megállapítására, hogy a felhasználó VPN-szolgáltatást használ-e. Ha az IP-cím nem egy VPN-szolgáltatáshoz tartozott, akkor a webhely egy másik sérült webhelyre irányította át a felhasználót, amelynek célja egy OpcJackert tartalmazó archív fájl letöltése volt. Fontos megjegyezni, hogy a támadás nem folytatódna, ha az áldozat VPN-szolgáltatást használna.
Hogyan veszélyeztethetik digitális biztonságát az olyan információlopó rosszindulatú programok, mint az OpcJacker?
Az olyan információlopó rosszindulatú programok, mint az OpcJacker, számos módon veszélyeztethetik digitális biztonságát. Először is, az OpcJacker az Ön tudta és beleegyezése nélkül behatolhat a készülékébe, ami azt jelenti, hogy kikerülheti a vírus- és kártevőirtó szoftvert. A telepítést követően az OpcJacker számos rosszindulatú tevékenységet hajthat végre, például billentyűnaplózást, képernyőképezést és adatlopást a webböngészőkből, amelyek felfedhetik érzékeny adatait, beleértve a bejelentkezési adatokat, hitelkártyaadatokat és személyes adatokat.
Sőt, az OpcJacker lecserélheti a vágólapon lévő kriptovaluta-címeket a sajátjára, ami azt jelenti, hogy ha kriptovaluta-tranzakciót hajt végre, akkor a pénzt a támadó pénztárcájába irányítja át, nem pedig a címzett pénztárcájába. Ez jelentős anyagi veszteségeket okozhat Önnek.
Ezenkívül az OpcJacker további hasznos terheket is szállíthat, például a NetSupport RAT-ot és a hVNC-t, amelyek lehetővé teszik a támadó számára az eszköz távoli elérését, lehetővé téve számára, hogy átvegye az irányítást az eszköz felett, több információt lopjon el, és akár egy botnet részeként is használja az eszközt. további kibertámadások végrehajtására.
Annak elkerülése érdekében, hogy az információlopó rosszindulatú programok, például az OpcJacker veszélybe sodorják digitális biztonságát, elengedhetetlen, hogy víruskereső és kártevőirtó szoftverét naprakészen tartsa, kerülje a gyanús hivatkozásokra és mellékletekre való kattintást, használjon jó hírű VPN-szolgáltatást, és rendszeresen készítsen biztonsági másolatot adatairól. a lehetséges támadás hatásának minimalizálása érdekében.
